Alfonso Maruccia

iOS, l'hotspot personale è debole di password

Ricercatori tedeschi individuano una magagna piuttosto pericolosa nella funzionalità di condivisione della rete WiFi disponibile sui gadget di Apple, una funzionalità basata su un migliaio di password che si trovano facilmente online

Roma - La funzione Personal Hotspot di iOS è estremamente comoda, ma anche estremamente pericolosa: stando ai ricercatori dell'Università di Erlangen-Nuremburg, il meccanismo che permette la condivisione dell'accesso a Internet via WiFi sui gadget Apple è fallata fino al midollo, al punto da richiedere pochi secondi per individuare la password di accesso.

In teoria Personal Hotspot è un meccanismo sicuro grazie all'impiego dell'algoritmo crittografico WPA2, ma la password - generata automaticamente - su cui tale algoritmo si basa è facilmente identificabile: i ricercatori hanno impiegato 4 GPU Radeon HD 7970 per crackare le password, arrivando a una percentuale di successo del 100 per 100 con procedimenti di identificazione che non hanno mai richiesto più di un minuto di tempo.

Il motivo di tanta facilità nel cracking di Personal Hotspot? La scarsa propensione alla sicurezza degli ingegneri di Cupertino: la funzionalità di iOS sceglie la password tra una lista sempre uguale di circa 2.000 parole più 4 cifre casuali aggiuntive, e i ricercatori hanno scovato l'esatta lista in un dizionario liberamente disponibile online.
Per gli autori dello studio, questa nuova "falla" nelle policy di sicurezza di Apple confermerebbe la scarsa tendenza delle corporation orientate ai prodotti di consumo a non prendere sul serio i rischi derivanti dal pericolo di usare password insicure. Il consiglio, ovviamente, è di non usare mai password generate automaticamente o particolarmente deboli in quanto a composizione.

Alfonso Maruccia
65 Commenti alla Notizia iOS, l'hotspot personale è debole di password
Ordina
  • Muahahahahahh,la grande sicurezza di AppleA bocca apertaA bocca apertaA bocca aperta
    Poi il newbie Appliano sceglie quelle automatiche perchè non è in grado d'inventarsi una password propria ?A bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > Muahahahahahh,la grande sicurezza di AppleA bocca apertaA bocca aperta
    >A bocca aperta
    > Poi il newbie Appliano sceglie quelle automatiche
    > perchè non è in grado d'inventarsi una password
    > propria ?
    >A bocca aperta
    certo "just it works".... si insomma a volte "works" e a volte "doesn't works"
    non+autenticato
  • Una risposta a tema, cioè con tante faccine, invece ci stava proprio bene:

    "Rotola dal ridereRotola dal ridereRotola dal ridere
    Qui siamo al sublime il totale capovolgimento della realtà pur di negare quello che Apple stessa ha dovuto ammettere!
    Vai così Berti magari finisce che ti prendono a Zelig!"

    http://punto-informatico.it/b.aspx?i=3394734&m=339...
    non+autenticato
  • al mercato nascosto ci stanno shell in affitto per bruteforcing con lista di password già pronta e al prezzo di 1 bitcoin anche una app per iphone con jb che fa il bruteforcing dalla lista di mille password, entro stasera anche quella per android
    non+autenticato
  • - Scritto da: Revenge
    > al mercato nascosto ci stanno shell in affitto
    > per bruteforcing con lista di password già pronta
    > e al prezzo di 1 bitcoin anche una app per iphone
    > con jb che fa il bruteforcing dalla lista di
    > mille password, entro stasera anche quella per
    > android
    Per Android ...
    La vedo complicata non è automatica!
    non+autenticato
  • non provo nemmeno quella per IOS, a me basta la listaSorride
    non+autenticato
  • basta passare alla Genius Bar presso il tuo applestore per risolvere!
    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: tucumcari
    >
    > basta passare alla Genius Bar presso il tuo
    > applestore per
    > risolvere!
    > [img]http://www.tarzanija.com/wp-content/uploads/2

    in effetti, ti consiglierebbero di scegliere da te la password, e il problema è effettivamente risolto
  • un cliente apple che sceglie qualcosa? è contrario alla filosofia apple
    non+autenticato
  • - Scritto da: bertuccia
    > - Scritto da: tucumcari
    > >
    > > basta passare alla Genius Bar presso il tuo
    > > applestore per
    > > risolvere!
    > >
    > [img]http://www.tarzanija.com/wp-content/uploads/2
    >
    > in effetti, ti consiglierebbero di scegliere da
    > te la password, e il problema è effettivamente
    > risolto

    No non è affatto "risolto" dato che "scegliere la password" è una cosa che puoi fare a prescindere il "problema" sta nella scelta automatica e ci resta (il software bacato) pure se la password la scegli tu.

    è come dire che tu vai dal meccanico e gli dici "il freno di stazionamento non funziona" e lui ti risponde "usa il freno normale"... invece di aggiustarti il freno di stazionamento.
    è davvero "geniale"!!!
    non+autenticato
  • - Scritto da: tucumcari

    > No non è affatto "risolto" dato che "scegliere la
    > password" è una cosa che puoi fare a prescindere
    > il "problema" sta nella scelta automatica e ci
    > resta (il software bacato) pure se la password la
    > scegli
    > tu.

    No.
    non+autenticato
  • - Scritto da: NEC
    > - Scritto da: tucumcari
    >
    > > No non è affatto "risolto" dato che "scegliere
    > la
    > > password" è una cosa che puoi fare a prescindere
    > > il "problema" sta nella scelta automatica e ci
    > > resta (il software bacato) pure se la password
    > la
    > > scegli
    > > tu.
    >
    > No.
    No che?
    La password che tu scegli riscrive il software?
    O semplicemente ti limiti a non usare un software che è e resta bacato?
    non+autenticato
  • - Scritto da: bertuccia
    > - Scritto da: tucumcari
    > >
    > > basta passare alla Genius Bar presso il tuo
    > > applestore per
    > > risolvere!
    > >
    > [img]http://www.tarzanija.com/wp-content/uploads/2
    >
    > in effetti, ti consiglierebbero di scegliere da
    > te la password, e il problema è effettivamente
    > risolto

    Troppo tecnico per le competenze del macaco medio.
    Funz
    12946
  • E per rendere esplicito ciò che era solo suggerito:

    "Mica solo la gente anche le bertuccie!
    Rotola dal ridereRotola dal ridere
    Dato che il problema è pure del mac-coso e dato che le bertuccie postano lo screenshot con la richiesta del permesso ignorando che la stessa cosa succede pure su winzozz!
    Rotola dal ridereRotola dal ridere"

    Oppure rileggere direttamente l'originale:

    http://punto-informatico.it/b.aspx?i=3556897&m=356...
    non+autenticato
  • non vi capisco, siete informatici o semplicemente applefans? gente che non sa che esistono servizi cloud come quello di amazon che lavora come se aveste appresso una batteria di ASIC, invece continuate a raccontare di portarvi appresso una macchina con 4 gpu, ma che avete in testa MELE MORSICATE? applecorinati stfu
    non+autenticato
  • - Scritto da: giuda

    > non vi capisco...

    Si, s'è capito.

    http://punto-informatico.it/b.aspx?i=3833792&m=383...
    FDG
    10893
  • ah, ma eri tu che dicevi di andare in giro con una macchina con 4 gpu? che intelligente che sei
    non+autenticato
  • - Scritto da: giuda

    > ah, ma eri tu che dicevi di andare in giro con
    > una macchina con 4 gpu? che intelligente che sei

    No, io discuto apertamente e liberamente (non sono qui per fare gare). Ai servizi cloud non avevo pensato. Ma se ci avessi pensato non avrei dato del fanboy a Mura solo perché s'è domandato chi se ne va in giro con 4 GPU. Gli avrei semplicemente fatto notare che non è necessario.

    Spero di aver chiarito.
    FDG
    10893
  • - Scritto da: FDG
    > Ma se ci avessi pensato non avrei
    > dato del fanboy a Mura solo perché s'è domandato
    > chi se ne va in giro con 4 GPU. Gli avrei
    > semplicemente fatto notare che non è
    > necessario.

    E qui ci sarebbero stati i presupposti per una discussione interessante, peccato che i troll flammatori vogliono solo urlare per sfogare chissà quali frustrazioni personali.

    Comunque grazie della presa di posizione Occhiolino
    mura
    1615
  • - Scritto da: mura
    > - Scritto da: FDG
    > > Ma se ci avessi pensato non avrei
    > > dato del fanboy a Mura solo perché s'è
    > domandato
    > > chi se ne va in giro con 4 GPU. Gli avrei
    > > semplicemente fatto notare che non è
    > > necessario.
    >
    > E qui ci sarebbero stati i presupposti per una
    > discussione interessante, peccato che i troll
    > flammatori vogliono solo urlare per sfogare
    > chissà quali frustrazioni
    > personali.
    >
    > Comunque grazie della presa di posizione Occhiolino

    Tecnicamente non c'è nulla da discutere è tutto perfettamente chiaro.
    L'unica cosa che si può discutere (e non è argomento tecnico ma di scelte sulle politiche di usabilità e autonomia) è se la logica alla "just it works" sia applicabile sempre e comunque anche alle scelte che il buon senso (e la sicurezza) vorrebbe spettassero al cliente.
    non+autenticato
  • Ma discutere su cosa? Su quanti secondi ci mette a processare una lista di mille password uno smartphone?
    non+autenticato
  • Va bene che la falla c'è ed è anche particolarmente evidente non lo nego, ma vorrei proprio sapere chi si porta dietro una macchina con 4 gpu top gamma come la 7970 per craccare password di un telefono, perchè in mobilità se ci metti più di un minuto a scoprirla il tizio con il telefono magari è già la che va per i fatti suoi e te sei fuori portata.

    Non so voi ma a me fa tanto di problema non problema per far parlare la gente.
    mura
    1615
  • - Scritto da: mura
    > Non so voi ma a me fa tanto di problema non
    > problema per far parlare la
    > gente.

    Come la maggior parte dei problemi sui terminali che vengono tirati fuori normalmenteSorride
    Servono per far fare flame ai vari fan/hater e bastaSorride
    non+autenticato
  • il punto è far notare come Apple abbia poca cura in generale del lato sicurezza dei suoi sistemi. Visto il prezzo dei dispositivi, dovrebbero essere perfetti sotto tutti i punti di vista, non solo dal punto di vista dell'essere trendyA bocca aperta
    non+autenticato
  • - Scritto da: Sam
    >
    > il punto è far notare come Apple abbia poca cura
    > in generale del lato sicurezza dei suoi sistemi.
    > Visto il prezzo dei dispositivi, dovrebbero
    > essere perfetti sotto tutti i punti di vista, non
    > solo dal punto di vista dell'essere trendy
    >A bocca aperta

    in progettazione raramente si arriva all'ottimo, si punta all'ottimale, a ciò che si ritiene accettabile.

    se servono 4gpu top gamma per crackare, apple ritiene sia accettabile, perchè nella pratica è poco probabile che ciò accada.

    google ad esempio ritiene accettabile che il suo dispositivo diventi inutilizzabile dopo 9 mesi di utilizzo
    http://androidandme.com/2013/06/opinions/one-year-.../
  • a quanto pare un altro device con seri problemi di memory leak, il brutto di android è questo se pigli la device sbagliata ti attacchi a sto xxxxxx
    non+autenticato
  • - Scritto da: gnammolo
    >
    > a quanto pare un altro device con seri problemi
    > di memory leak, il brutto di android è questo se
    > pigli la device sbagliata ti attacchi a sto
    > xxxxxx

    quando scegli una memoria, la paghi a seconda dell'affidabilità che ti garantisce

    google ha messo la firma su un prodotto deliberatamente progettato in maniera scadente, chi l'ha acquistato ora ha un device quasi inutilizzabile

    a sto punto come lo si sceglie il device android se non ti puoi fidare nemmeno di nomi come google e asus?
  • - Scritto da: bertuccia
    > - Scritto da: gnammolo
    > >
    > > a quanto pare un altro device con seri
    > problemi
    > > di memory leak, il brutto di android è
    > questo
    > se
    > > pigli la device sbagliata ti attacchi a sto
    > > xxxxxx
    >
    > quando scegli una memoria, la paghi a seconda
    > dell'affidabilità che ti
    > garantisce
    >
    > google ha messo la firma su un prodotto
    > deliberatamente progettato in maniera scadente,
    > chi l'ha acquistato ora ha un device quasi
    > inutilizzabile
    >
    > a sto punto come lo si sceglie il device android
    > se non ti puoi fidare nemmeno di nomi come google
    > e
    > asus?
    ma vi pagano per fare dell'inutile trolling?
    la faccenda dello slowdown e' principalmente se non esclusivamente a bug software nella gestione del TRIM (una feature dello standard SATA). bug che possono avere tutti... infatti anche osx ne ha avuti.
    non+autenticato
  • - Scritto da: bubba

    > ma vi pagano per fare dell'inutile trolling?
    > la faccenda dello slowdown e' principalmente se
    > non esclusivamente a bug software nella gestione
    > del TRIM (una feature dello standard SATA). bug
    > che possono avere tutti... infatti anche osx ne
    > ha avuti.

    Grazie bubba. Posso mettere un bookmark su questo post?
    FDG
    10893
  • - Scritto da: FDG
    > - Scritto da: bubba
    >
    > > ma vi pagano per fare dell'inutile trolling?
    > > la faccenda dello slowdown e' principalmente
    > se
    > > non esclusivamente a bug software nella
    > gestione
    > > del TRIM (una feature dello standard SATA).
    > bug
    > > che possono avere tutti... infatti anche osx
    > ne
    > > ha avuti.
    >
    > Grazie bubba. Posso mettere un bookmark su questo
    > post?
    :) per mandarmi meglio degli accidenti o perche anche tu pensi quel che ho scritto? Cmq si certo...Sorride    
    questo al netto del fatto che tutte le partite di NAND,eMMC,SSD che di si voglia possono essere cheap o fallate o usate "a morte"... e ,anche dietro il wear leveling, il problema si fara' sentire..
    non+autenticato
  • magari non hai capito, molto probabile visto che sei un applefan, non servono 4 gpu per crackare l'hotspot, sono servite la prima volta ed anche in quel caso bastava affidarsi a servizi come quelli di amazon per fare il lavoro, adesso non serve altro che una lista di 1000 password già presente in internet per bucare in pochissimi secondi l'hotspot di apple
    non+autenticato
  • - Scritto da: giuda
    > magari non hai capito, molto probabile visto che
    > sei un applefan, non servono 4 gpu per crackare
    > l'hotspot, sono servite la prima volta ed anche
    > in quel caso bastava affidarsi a servizi come
    > quelli di amazon per fare il lavoro, adesso non
    > serve altro che una lista di 1000 password già
    > presente in internet per bucare in pochissimi
    > secondi l'hotspot di apple

    Hai centrato in pieno il problema, il bassissimo livello tecnico degli utenti lo vedi proprio dai commenti di questo forum: non hanno neanche capito l'articolo.

    Spiego come spiegherei a mio nonno:
    - se crei un hotspot il dispositivo propone una password
    - la password viene generata da una lista di parole di uso comune seguita da qualche numero casuale
    - usando un sistema a 4 gpu, in 50 secondi è stata scoperta la lista completa delle 1842 parole di cui la lista è composta