Jay Sartori, un analista esperto di sicurezza IT, è stato coinvolto in alcuni test per l’utilizzo di iPhone a livello di impresa. Durante le settimane di test, il tecnico si è confrontato con le nuove tecnologie dell’ iPhone 3GS, concentrandosi particolarmente su Exchange ActiveSync (EAS) e sulle policies di gestione delle password.
Durante i suoi test, Sartori ha scoperto alcuni comportamenti anomali sia nella gestione delle policies, sia nel funzionamento delle password stesse. L’insieme di test è stato condotto su un iPhone 3GS da 16GB con firmware 3.0.1. Il telefono è stato configurato per utilizzare il servizio mail Exchange ActiveSync tramite server proxy.
Il server Exchange eseguiva Exchange 2003 SP2, con EAS abilitato, configurato con policies per le password; nella fattispecie la policy era composta da 2 regole: password di minimo 4 caratteri ed un timeout di 20 minuti di inattività.
Testata con un telefono con Windows Mobile, la policy ha funzionato correttamente. Con iPhone i problemi sono iniziati con i parametri “Auto Lock” e “Passcode Lock”: il primo riguarda il lock dello schermo ed il secondo riguarda il timeout dopo il quale richiedere nuovamente la password. Ponendo questi due parametri con valori diversi rispetto alla policy, l’analista ha evidenziato come l’utente possa dare al dispositivo delle impostazioni che prevalgano sulla policy imposta dal server.
Il secondo aspetto non chiaro all’analista consiste nel prompt di impostazione della password utente: se si imposta una password alfanumerica, come “abc123”, apparirà una tastiera completa per l’inserimento. Inserendo una password solo numerica, ad esempio di 4 caratteri come “1234”, la schermata del prompt prevede una visualizzazione alternativa, ovvero a 4 celle e solo con la tastiera numerica. Ciò rivelerebbe quindi – almeno parzialmente – la natura della password.
Il terzo baco è strettamente legato al secondo: ponendo il caso che la password scelta sia impostata a 4 cifre numeriche, nel caso decidiate di cambiare passcode non potrete più cambiare la password. Questo è un caso esplicito di baco dell’OS. L’unico metodo per risolverlo è disinstallare l’account Exchange dall’iPhone e reinstallarlo. Una volta giunti al passcode si dovrà inserire una password complessa diversa dai casi sopra elencati.
[Via Network World]