Stefano De Carlo

iOS 10, backup meno sicuri

Un errore introdotto su iOS 10 consente di tentare gli attacchi a forza bruta alla password dei backup iTunes al ritmo di 6 milioni di tentativi al secondo. Apple: fix in arrivo

Roma - Oleg Afonin di Elcomsoft, compagnia russa specializzata nel cracking delle password e i cui software si sospetta siano stati utilizzati nel furto di foto private ai danni delle celebrità noto alle cronache come fappening, ha divulgato l'esistenza di una vulnerabilità introdotta da iOS 10 che abbassa notevolmente il livello di sicurezza dei backup eseguiti in locale. Operando su un backup eseguito da iOS 10, si illustra nel post sul blog aziendale, una normale CPU desktop è in grado di eseguire 6 milioni di tentativi al secondo; su iOS 9 erano appena 2400 a parità di CPU, un bruteforce 2500 volte più lento.

Elcomsoft non ha rilasciato privatamente i dettagli della vulnerabilità ad Apple prima di pubblicarli, ma ha risposto alle richieste di informazioni del team di sicurezza di Cupertino, che ora prepara un fix il cui rilascio pare imminente. Un portavoce Apple afferma che "il problema non impatta i backup effettuati su iCloud".

Secondo l'esperto di sicurezza Per Thorsheim, il difetto scaturisce dal cambio dell'algoritmo che produce una versione hashed delle password prima di memorizzarle, che su iOS 10 è SHA256 eseguito però con una sola iterazione. Thorsheim ha speso parole dure nei confronti di Cupertino, chiedendosi se dietro al problema si nasconda un indebolimento deliberato, e sostenendo che "Apple potrebbe vincere il premio stupidità in sicurezza dell'anno per un così gigantesco passo indietro".
iOS 10 password cracking

Lo scopritore della vulnerabilità però la pensa molto diversamente: "Gli iPhone sono sicuri così come iOS, e questo sempre di più col passare delle generazioni. Forzare la generazione di un backup locale è una delle poche strade rimaste per violare dispositivi con iOS10". Operando un backup si bypassano infatti le chiavi crittografiche "impresse" nel SoC Apple. Una volta craccato l'hashing delle password, il backup sbloccato contiene tutte le informazioni sul dispositivo, incluso il file di keychain con tutte le credenziali, un set di dati normalmente inaccessibile operando fisicamente sul device.

Per il CEO di Elcomsoft, Vladir Katalov, il fix potrebbe non essere così facile o imminente, perché "potrebbero esserci altri utilizzi di quella porzione di codice di cui non siamo a conoscenza. Probabilmente servirà un update anche di iTunes e del formato dei backup".

Stefano De Carlo

Fonte immagine
Notizie collegate
26 Commenti alla Notizia iOS 10, backup meno sicuri
Ordina
  • ecco come era più veloce Rotola dal ridere
    non+autenticato
  • Qualcuno spara da trollone su l'open source che è roba da pezzenti.

    Ma pagare qualcosa a prezzi da 'riccone' e avere gli stessi risultati dei 'pezzenti' non vi schifate da soli?

    Come.... ha si, voi siete senza vergogna!! E continua ha trollare pure winforlive, o tu che ti celi dietro un altro nick inventato.
    non+autenticato
  • eheheheh... avevano lasciato la porta aperta ai loro amiconi dell'FBI, ma sono stati sgamati al volo. chissa' dove nasconderanno la prossima backdoor.

    ifogni? alla larga!
    non+autenticato
  • Sarebbe interessante sapere perchè hanno deliberatamente cambiato metodo di criptatura, con uno significativamente più debole. Mantenere il precedente sarebbe stato chiaramente più semplice.

    Per trasparenza e lealtà verso gli utenti, dovrebbero spiegare nel dettaglio la genesi dell'errore.
  • secondo me hanno abbassato il livello di crittografia per accelerare la procedura di backup, lasciando poi all'utente la cura di tenere in un luogo sicuro il backup stesso (ad esempio criptando il disco del pc/mac). la password tuttavia dovrebbe essere criptata e derivata in maniera robusta (PBKDF2) e mi stupisce che non lo facciano più... misteri...
    non+autenticato
  • - Scritto da: il tacchino
    > secondo me hanno abbassato il livello di
    > crittografia per accelerare la procedura di
    > backup, lasciando poi all'utente la cura di

    quasta con questa storiella, non regge, non è con l'hash della password che rallenti la procedura di backup. Questa è una scusa per i farlocchi.

    > tenere in un luogo sicuro il backup stesso (ad
    > esempio criptando il disco del pc/mac). la
    > password tuttavia dovrebbe essere criptata e
    > derivata in maniera robusta (PBKDF2) e mi
    > stupisce che non lo facciano più...
    > misteri...
    non+autenticato
  • ...fate i backup su icloud che é più sicuro Fan Apple...
    non+autenticato
  • - Scritto da: prese per il cloud
    > ...fate i backup su icloud che é più sicuro
    > Fan Apple...

    Io aggiungo:
    fate i backup online sui server di chissà chi (non solo Apple), mettete tutti i Vs. dati, foto, tutto di Voi online che è sicuro e va bene... Viva il Cloud in generale!! (che tristezza)
    non+autenticato
  • Mi riferivo a questa parte dell' articolo:

    "l'esistenza di una vulnerabilità introdotta da iOS 10 che abbassa notevolmente il livello di sicurezza dei backup eseguiti in locale."

    Comunque ad essere pignoli il qukulo degli utenti apple sta sui server di amazon/m$/google:

    http://www.crn.com/news/cloud/300080062/cloud-make...

    Cioè, il walled garden va bene quando c'é da massacrare i polli con i vendor lock-in, quando invece c'é da tutelare i loro dati va benissimo un subappalto alla discarica cloud più economica sul mercato.

    Chiamatelo awsCloud, m$Cloud, gCloud, perché usando la forma iCloud si fa pubblicità ingannevole a scapito della sura Maria Ficoso.
    non+autenticato
  • Interessante il link.

    Ok che é pratica comune non affidarsi ad un solo fornitore, ma AWS é il cloud con minore downtime in assoluto da anni (il link sotto e' all'ultimo report disponibile = 2015), ed alquanto redditizio, tanto che Amazon ha scorporato il servizio proprio per poterlo offrire a terze parti (e renderlo ancora piú redditizio).

    http://www.networkworld.com/article/3020235/cloud-...

    Non é dato a sapere quanto Apple spende con terze parti.
    Tra 400 e 600 milioni USD per "Google Cloud Platform" vs. lo stimato miliardo con AWS, fanno 1,5 miliardi... e ne sta spendendo altri 3,9 di miliardi per costruire i nuovi centri di calcolo di proprietá...

    La vita economica delle macchine in un centro di calcolo é di 5 anni (con un ricambio continuo, che si puó condensare in termini temporali in 1 anno, che di fatto vuol dire 6 anni di costi per avere un ritorno).
    1,5 miliardi x 6 anni = 9 miliardi (diciamo 10 miliardi, attualizzando il valore)

    Contrariamente a quanto pensano alcuni lettori/commentatori, a me sembra una manovra proprio per tutelare i dati (piú che risparmiare denaro).
    I costi con GCP o con AWS attualmente li scarica la 100% (non ci deve pagare alcuna tassa), mentre i centri di calcolo hanno tutto il costo di personale, etc...

    Io non salvo dati in cloud e ho solo un ipad (la batteria della tavoletta apple dura molto piú delle alternative per le 4 cose che ci faccio = real time production data visualization, navigazione web, un po' di Garage Band nel tempo libero e Email di lavoro quando viaggio)
    non+autenticato
  • - Scritto da: Mao99
    > fate i backup online sui server di chissà chi
    > (non solo Apple), mettete tutti i Vs. dati, foto,
    > tutto di Voi online che è sicuro e va bene...
    > Viva il Cloud in generale!! (che
    > tristezza)

    poi ti entrano da remoto sul tuo PC locale e ti fottono lo stesso e con maggior facilità

    Saluti da P4
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)