Mille anni per crackare la password di un backup di iOS. Questi i tempi calcolati da alcuni esperti di sicurezza, che avrebbero recentemente analizzato i potenziamenti alla sicurezza apportati da Apple al proprio sistema operativo con la più recente versione iOS 10.2 attualmente in fase di test.
Anche se Apple è costantemente impegnata a migliorare sicurezza e affidabilità dei propri dispositivi, secondo alcuni il notevole balzo compiuto nella protezione dei backup iOS è stato voluto in seguito al caso di San Bernardino. Per sbloccare ed esaminare l’iPhone del terrorista senza l’aiuto di Apple, l’FBI si è avvalsa di alcuni strumenti acquistati, probabilmente dell’israeliana Cellbrite, che garantirebbero lo sblocco di qualsiasi dispositivo sul quale è installato iOS 9.
In base a quanto spiegano i ricercatori attraverso un post sul blog, le attuali strumentazioni permettono di forzare l’accesso a un backup di iOS 9 protetto da password ed accedere ai dati in esso contenuti entro un anno solare. Il sistema è più o meno lo stesso a partire da iOS 4, mentre con iOS 10 Apple ha cambiato il formato di backup aggiungendo un nuovo livello di sicurezza per i backup criptati localmente.
Quello che tuttavia sembrava un miglioramento alla sicurezza del sistema conteneva però un difetto che ha generato l’effetto opposto, facilitando l’hacking di un backup. All’atto pratico, la forzatura era stata resa 2.500 volte più veloce, permettendo così di crackare un backup in sole tre ore.
Scoperto il problema, con iOS 10.1 Apple ha corretto la falla, intensificando la sicurezza e riportandola ai livelli di iOS 9, quindi garantendo alle attuali strumentazioni di forzare un backup in un anno solare. Ma con iOS 10.2 è riuscita a fare molto di più. Stando a quanto evidenziato dagli esperti, con il più recente aggiornamento di iOS – attualmente in fase di test – non solo viene crittografato l’intero database di backup, ma la convalida di una password ora è molto più esigente in termini di potenza di elaborazione. In altre parole, allo stato attuale delle cose un ipotetico hacker potrebbe impiegare fino a 1.000 anni per forzare l’accesso ad un backup di iOS 10.2.
Per tale ragione il consiglio finale degli esperti, oltre ad aggiornare ad iOS 10.2 non appena sarà rilasciato, è quello di attivare la crittografia dei backup, che in iTunes trovate sotto la voce “Codifica backup iPhone/iPad”, evitando di utilizzare la stessa password associata al proprio Apple ID per intensificare la sicurezza dell’intero sistema.