Il picco di attenzione su Apple è al massimo: nelle prossime ore Cupertino si misurerà nella presentazione di nuovi prodotti e nel confronto con le autorità degli Stati Uniti riguardo al caso dell’accesso all’iPhone del killer di San Bernardino. Non c’è evidentemente momento migliore, per l’esperto di crittografia Matthew Green e i colleghi, studenti della Johns Hopkins University, per annunciare al mondo che iMessage è afflitto da una vulnerabilità che consente di intercettare e visualizzare immagini e video cifrati scambiati con il servizio.
Really looking forward to iOS 9.3. You should all patch.
– Matthew Green (@matthew_d_green) 17 marzo 2016
I ricercatori, nell’indagare il sistema di cifratura dei dispositivi iOS, hanno replicato la configurazione di un server iCloud Apple e sono riusciti ad intercettare e decifrare le immagini e i video in transito su iMessage e conservati su iCloud. Questi contenuti sono cifrati con una chiave craccabile con un attacco brute force : il dispositivo iOS li ha guidati nell’attacco, accettando i numeri e le lettere esatti, e permettendo ai ricercatori di eseguire il numero di tentativi che ha portato al recupero del codice nella sua interezza.
La vulnerabilità, hanno spiegato i ricercatori, è presente su iOS fino alla versione 9. Apple è stata avvertita per tempo del problema, ma anche la release più recente presta il fianco a attacchi, più complessi da condurre, ma certo alla portata di agenzie governative determinate nella loro vocazione alla sorveglianza. Il sistema di messaggistica potrà considerarsi sicuro solo con il rilascio della versione 9.3, prevista per le prossime ore. Solo in quel momento Green e colleghi entreranno nei dettagli delle vulnerabilità che hanno saputo individuare, che non riguarda probabilmente il solo iMessage.
The attack is more interesting than just attachments and affected more than just iMessage. Apple had to fix other apps, but won’t say what.
– Ian Miers (@secparam) 21 marzo 2016
“Anche Apple, con tutte le sue risorse e i suoi valenti esperti di crittografia, non non è stata in grado di fare le cose per bene – osserva Green – E mi spaventa il fatto che si stiano facendo tutti questi discorsi sulle backdoor se nemmeno si è in grado di far funzionare la cifratura ai livelli di base”.
Gaia Bottà