iOS 10 sfrutta un nuovo meccanismo di verifica delle password per i backup di iTunes e a quanto sembra è potenzialmente più facile eseguire tentativi di cracking dei backup, almeno secondo quanto riferisce Elcomsoft, un’azienda russa specializzata in informatica forense.
iTunes consente di eseguire il backup di iPhone, iPad o iPod touch, permettendo di avere a disposizione una copia dei dati da usare in caso di sostituzione, perdita o danneggiamento del dispositivo. Una specifica casella consente di attivare la Codifica dei backup bloccando e codificando i dati. In un backup iTunes crittografato sono incluse determinate informazioni non incluse in altri backup: Password salvate, Impostazioni Wi-Fi, Cronologia dei siti web e Dati sanitari.
Elcomsoft ha scoperto che iOS 10 salta alcuni controlli di sicurezza consentendo di eseguire più tentativi nel cercare di individuare la password, “2500 volte più velocemente” rispetto a quanto era possibile fare con iOS 9 o precedenti sistemi operativi.
Ottenuta la password di un backup iTunes è possibile accedere ai dati prima indicati, incluse le password memorizzati nel Portachiavi, password di altre app e vari dati sensibili. L’azienda afferma di avere implementato un sistema che tenta di individuare le password appoggiandosi alla CPU o alla GPU di un PC.
I nuovi controlli di sicurezza sono 2500 volte più deboli rispetto ai precedenti previsti per i backup di iOS 9. Al momento siamo riusciti a ottenere queste velocità:
iOS 9 (CPU): 2,400 password al second (Intel i5)
iOS 9 (GPU): 150,000 password al second (NVIDIA GTX 1080)
iOS 10 (CPU): 6,000,000 password al secondo (Intel i5)
Dal punto di vista tecnico, Per Thorsheim, analista di Peerlyst specializzato in sicurezza , spiega che Apple è passata dall’algoritmo di derivazione con hash crittografico denominato “PBKDF2” a quello denominato “SHA256” che richiede un numero di iterazioni inferiore semplificando dunque i tentativi di forzare la chiave con un attacco di brute-force.
Apple ha dichiarato a Forbes di conoscere il problema e di stare lavorando a un fix per risolverlo. “Siamo al corrente del problema che riguarda la forza di cifratura dei backup dei dispositivi con iOS 10 quando il backup viene eseguito su Mac o PC. Ci stiamo occupando del problema e la soluzione arriverà con un aggiornamento di sicurezza”. Apple spiega che l’inconveniente non ha a che fare con i backup su iCloud (l’utente può creare un backup in iCloud facendo in modo che ogni volta venga eseguita automaticamente la crittografia delle informazioni). “Raccomandiamo agli utenti”, spiega Apple, “di essere sicuri che i loro Mac e PC siano protetti con password robuste e accessibili solo da utenti autorizzati. Ulteriori misure di sicurezza sono disponibili attivando la cifratura FileVault dell’intero disco”.
Apple sta lavorando a versioni aggiornate di iOS 10 e macOS Sierra (le beta di iOS 10.1 macOS Sierra 10.12.1 sono già nelle mani di sviluppatori e beta tester) ed è probabile che fix specifici saranno integrati negli update che arriveranno a breve.