Alfonso Maruccia

iOS, PIN crackato con la forza

Un gadget relativamente economico č in grado di identificare il codice di protezione di iPhone e altri iCosi senza effetti collaterali. Basta insistere e ogni combinazione crolla

Roma - Si chiama IP Box, costa circa 300 dollari ed è un dispositivo in grado di eseguire con successo un attacco a forza bruta contro il codice PIN configurato a protezione del "lock screen" di un gadget basato su iOS. Non c'è iPhone o iPad che tenga, l'attacco ha successo nel 100 per 100 dei casi - sempre che si abbia la pazienza di attendere il completamento dell'operazione.


IP Box si connette direttamente alla porta USB integrata sui gadget di Apple, e una volta stabilita la connessione il dispositivo comincia a testare tutti i codici PIN possibili fino a visualizzare sul display quello impostato dal proprietario del terminale.

Ogni tentativo richiede 40 secondi di tempo, quindi prima esaurire le combinazioni totali del codice a quattro cifre potrebbero passare fra i 4 e i 5 giorni: pur considerando questa limitazione, il successo dell'attacco a forza bruta è sempre e comunque garantito e non c'è meccanismo di "anti-jamming" che tenga.
IP Box è infatti progettato per "tagliare" l'alimentazione al dispositivo iOS a cui è connesso dopo ogni tentativo di immissione del PIN andato male, un meccanismo che impedisce all'OS mobile di accorgersi di quanto sta avvenendo e permette quindi di ripetere il tentativo tutte le volte necessarie.

Un PIN a 4 cifre, suggerisce in sostanza la disponibilità di un sistema come IP Box, non è garanzia di sicurezza particolarmente efficace. Il dispositivo è utilizzato soprattutto dai centri di assistenza per prodotti Apple, ma non è difficile ipotizzare che anche un malintenzionato particolarmente paziente (o particolarmente interessato ai dati presenti su un gadget iOS) potrebbe trarne buon frutto.

Alfonso Maruccia
Notizie collegate
  • AttualitàDatagate, CIA al cracking di AppleLe nuove rivelazioni di Edward Snowden descrivono l'intelligence americana come attivamente impegnata a bypassare la sicurezza dei gadget della Mela per rubare informazioni o installare backdoor
39 Commenti alla Notizia iOS, PIN crackato con la forza
Ordina
  • Io invece ho trovato un telefono senza alcun codice di sicurezza in stile 007 e tramite la rubrica sono riuscito a rintracciare il propietario. Un'po' come succede con i pompieri che non fanno in tempo a scassinare le porte o finestre in caso di incendio e salvare il malcapitato.
    non+autenticato
  • basta chiedere a siri di mostrarti tutte le sveglie. toccare una delle sveglie già impostate, e via. telefono sbloccato.
    non+autenticato
  • - Scritto da: ciccipicci
    > basta chiedere a siri di mostrarti tutte le
    > sveglie. toccare una delle sveglie già impostate,
    > e via. telefono
    > sbloccato.

    Telefono sbloccato ? Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere

    L'unica cosa che puoi fare é cambiare una sveglia .... altro che telefono sbloccato!
  • Puoi anche vedere la rubrica, inviare email ecc. ecc.

    Ovvio che c'è la possibilità di proteggersi ma (guarda caso) non è abilitata di default.

    Ciofeca.
    non+autenticato
  • - Scritto da: Jaguaro

    Vero, hai ragione.
    -----------------------------------------------------------
    Modificato dall' autore il 24 marzo 2015 12.53
    -----------------------------------------------------------
  • una volta che sei entrato nelle sveglie spingi il tasto home e hai il telefono sbloccato, senza dover inserire il codice o usare touchid. se vuoi ti faccio un video.
    non+autenticato
  • Scusa é vero , mi sono sbagliato , con il tasto Home viene bypassata la richiesta del PIN.

    Bel buco di sicurezza da chiudere al piú presto. Deluso
  • - Scritto da: aphex_twin

    > Bel buco di sicurezza da chiudere al piú
    > presto.
    >Deluso

    Ma quale buco?
    Abbiamo chiesto ad Apple un sistema per bypassare la crittografia del file system e ci è stato dato. Ficoso
    Non capimo proprio dove lei veda un 'buco' Newbie, inesperto
    non+autenticato
  • ehm.. ragazzi provate a schiacciare il tasto home senza usare un dito autenticato per TouchID A bocca aperta


    no sul serio

    il telefono vi si sblocca per via di touch id.. All'inizio anch'io ho pensato al baco, poi ho fatto la stessa prova con un dito non autenticato e mi riporta alla schermata di blocco
  • uh mamma è vero, viene bypassato solo se quando chiedi a siri usi il dito touchidato. fico!
    stavo iniziando a preoccuparmi, perché sto sblocco funzionava con qualunque richiesta, tipo che canzone è questa, fammi vedere tutti i contatti, e così via.
    non+autenticato
  • non direi proprio
    A) stai provando ed hai il touch id attivo, pertanto si sblocca quando premi home
    B) hai il blocco con codice dopo X minuti e il tempo non è ancora trascorso
    non+autenticato
  • Ma infatti, si sblocca solo la sveglia, se premi l'home con altro dito il telefono te lo trovi bloccato.

    Solite leggende...
    non+autenticato
  • "IP Box si connette direttamente alla porta USB integrata sui gadget di Apple"

    Da quando i device apple hanno una porta USB ? Newbie, inesperto

    Un pin di 4 cifre ? Ma veramente ? di solito si usano per le SIMDeluso
    non+autenticato
  • Ma davvero hanno un pin di sole 4 cifre? Non ci voleva un genio a capire che un attacco brute force potesse averne ragione in breve tempo!
  • ma non usavano impronte digitali e scansione della retina?
    non+autenticato
  • se ti basta una protezione minima scegli il codice a 4 cifre

    se vuoi maggiore protezione scegli una stringa più lunga alfanumerica

    https://support.apple.com/en-gb/HT204060
  • - Scritto da: bertuccia
    > se ti basta una protezione minima scegli il
    > codice a 4
    > cifre
    >
    > se vuoi maggiore protezione scegli una stringa
    > più lunga
    > alfanumerica
    >
    > https://support.apple.com/en-gb/HT204060

    Peccato che la sicurezza reale sia data dalla configurazione di default.
    non+autenticato
  • - Scritto da: ...
    >
    > Peccato che la sicurezza reale sia data dalla
    > configurazione di default.

    sì dai parliamo di configurazioni di default, ho voglia di ridere

    http://www.tomshardware.com/news/android-default-e...
  • - Scritto da: bertuccia

    > sì dai parliamo di configurazioni di default, ho
    > voglia di
    > ridere
    >
    > http://www.tomshardware.com/news/android-default-e

    E cosa c'entrerebbe android, di grazia???
    NON STARAI MICA CERCANDO DI CAMBIARE DISCORSO??? Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: ...
    >
    > E cosa c'entrerebbe android, di grazia???
    > NON STARAI MICA CERCANDO DI CAMBIARE DISCORSO???
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    no, voglio solo ridere.

    tu mi consideri grave che iOS non chieda di default un codice lungo e alfanumerico.
    bene, ne prendo atto.

    a questo punto, visto che voglio ridere, vorrei sapere come consideri il fatto che android non attivi di default la crittografia dei dati.
  • - Scritto da: bertuccia
    > no, voglio solo ridere.

    Si anche ioA bocca aperta

    > tu mi consideri grave che iOS non chieda di
    > default un codice lungo e
    > alfanumerico.
    > bene, ne prendo atto.

    Più che altro considero grave chi si accontenta del minimo proposto.

    > a questo punto, visto che voglio ridere, vorrei
    > sapere come consideri il fatto che android non
    > attivi di default la crittografia dei
    > dati.

    L'opzione è presente dalla notte dei tempi su Android ma è demandata all'utente la scelta se vuole usarla o meno.
    Ora chiediti come mai gli utenti apple hanno sempre bisogno della pappa prontaA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    >
    > L'opzione è presente dalla notte dei tempi su
    > Android ma è demandata all'utente la scelta se
    > vuole usarla o meno.
    > Ora chiediti come mai gli utenti apple hanno
    > sempre bisogno della pappa pronta
    >A bocca aperta

    sei capace sì di andare a leggere chi nel thread ha scritto testuali parole "Peccato che la sicurezza reale sia data dalla configurazione di default."?
  • - Scritto da: bertuccia

    > a questo punto, visto che voglio ridere, vorrei
    > sapere come consideri il fatto che android non
    > attivi di default la crittografia dei
    > dati.

    non me frega nulla di quel colabrodo di android ti basta come risposta.
    Però stavamo parlando di APPLE, l'articolo parla di APPLE. IO parlavo di APPLE.
    Perchè tu parli di Android?
    stavi forse cercando di svicolare?????
    non+autenticato
  • - Scritto da: ...
    >
    > non me frega nulla di quel colabrodo di android
    > ti basta come risposta.

    mi basta

    > Però stavamo parlando di APPLE, l'articolo parla
    > di APPLE. IO parlavo di APPLE.
    > Perchè tu parli di Android?
    > stavi forse cercando di svicolare?????

    affatto, volevo solo capire il tuo concetto di sicurezza.

    capisci anche tu la posizione scomoda di uno che viene a criticare questa pagliuzza quando ha una trave grossa così infilata tu sai dove.

    ma non è il tuo caso, perchè evidentemente non usi nè iOS nè Android. Buon per te.