Codici PIN che avrebbero dovuto proteggere gli account di operatori T-Mobile e AT&T erano accessibili a terzi per via di due vulnerabilità. Lo riferisce il sito BuzzFeed News spiegando che i codici in teoria dovevano permettere di proteggere gli account mobile da tentativi di hacking ma erano accessibili come scoperto dai ricercatori Phobia e Nicholas “Convict” Ceraolo.
La prima falla era legata all’Apple Store online e avrebbe inavvertitamente messo a disposizione i PIN degli account di 77 milioni di utenti dell’operatore T-Mobile. Nel sito web di Asurion, azienda che offre una polizza di assicurazione per il telefono, è stata individuata la seconda falla che permetteva di ottenere il codice PIN di utenti dell’operatore AT&T.
Apple e Asurion hanno risolto le vulnerabilità dopo l’indicazione di BuzzFeed News che ha condiviso quanto scoperto dai ricercatori esperti in sicurezza. Apple non ha indicato dettagli e si è limitata a ringraziare i ricercatori che hanno scoperto la falla. Una portavoce di Asurion, Nicole Miller, ha dichiarato: “Asurion prende molto seriamente la sicurezza e la privacy dei clienti ed è pertanto in corso un programma stratificato per impedire problematiche di queasto tipo”. E ancora: “Stiamo investigando i timori evidenziati dai ricercatori e abbiamo immediatamente implementato misure di sicurezza per affrontare tali problemi e garantire la sicurezza degli account dei clienti”.
Il PIN di un dispositivo mobile è un dato sensibile. Un malintenzionato che ha accesso a questo elemento, può avere accesso al telefono e rendere superflui meccanismi di protezione come l’autenticazione a due fattori (con l’invio dei codici di verifica via SMS) a protezione di conti online, email, account social, ecc. In passato non sono mancati casi di SIM hackerate ad hoc per controllare le comunicazioni di dati e a voce di qualsiasi dispositivo con una scheda SIM compromessa.
Per quanto riguarda Apple, BuzzFeed spiega che dopo aver iniziato la procedura di acquisto di un iPhone con l’operatore T-Mobile sull’Apple Store online selezionando come opzione il pagamento mensile, il sito della Mela indirizzava l’utente a un modulo per l’autenticazione dove era richiesto il numero T-Mobile e il PIN dell’account oppure le ultime quattro cifre social security number (una sorta di codice fiscale). La pagina in questione permetteva di provare all’infinito il codice PIN, permettendo di scovare il codice con un semplice attacco a forza bruta (verificare tutte le soluzioni teoricamente possibili fino a che si trova quella effettivamente corretta).
Il problema sul sito Apple a quanto pare riguardava solo gli utenti con account T-Mobile; con altri operatori la pagina di convalida rimane attiva per 60 minuti e consente in ogni caso un massimo di dieci tentativi. Poiché il problema si verificava solo con l’operatore T-Mobile, molto probabilmente si è trattato di un semplice errore di chi ha creato la pagina web in questione. Del tutto simile il problema sul sito web di Asurion, dalla quale era possibile ottenere il PIN di account AT&T. In tutti i casi era richiesto un numero di telefono, elemento che ha probabilmente permesso di limitare il numero di persone che forse hanno avuto accesso a questi dati. In caso di dubbi, AT&T e T-Mobile consigliano ai rispettivi clienti di cambiare PIN.