Aggiornamento del 25 ottbre 2018
Con iOS 12, Apple ha deciso di irrobustire la sicurezza dei dispositivi bloccando la porta Lightning dopo 1 ora dall’ultimo sblocco, e dunque rendendo vani gli attacchi forza bruta. Inizialmente, pensavamo che ciò non bastasse a tenere a bada GrayKey, la scatoletta cracka-iPhone prodotta da Grayshift, e invece non è proprio così che stanno le cose.
Di suo, Apple faceva la smargiassa: “non progettiamo i nostri miglioramenti di sicurezza per frustrarli e vanificare i loro sforzi nel fare il loro lavoro” aveva dichiarato un portavoce della società a giugno. Salvo poi scoprire che in in realtà, almeno a dire di un esperto di scienze forensi, GrayKey teneva già in caldo tecnologie che le avrebbero consentito di bypassare i meccanismi di sicurezza di iOS 12:
“Grayshift ha faticato molto per assicurare un futuro alla propria tecnologia,” spiegavano gli esperti. “E ha affermato di aver già battuto questa feature di sicurezza nella Beta. In più, GrayKey possiede delle funzionalità integrate che saranno attivate col passare del tempo.” E invece alla fine, il CEO stesso di ElcomSoft, la società che produce GrayKey, ha dovuto capitolare:
“Non ne ho idea. Potrebbe essere qualunque cosa, da una migliore protezione del Kernel a restrizioni più robuste di installazione dei profili di configurazione.”
In pratica, se installate iOS 12 e tentano di accedere al vostro telefono, non ci riusciranno; o per meglio dire, ci riusciranno parzialmente: risulteranno leggibili solo i metadati di file e cartelle (grandezza, data di creazione, data di modifica e così via). Due a zero per Apple, almeno per ora.
GrayKey, indovina il vostro PIN in 11 ore
[img src=”https://media.melablog.it/a/acd/graykey-sblocca-iphone.jpg” alt=”graykey-sblocca-iphone.jpg” align=”center” size=”large” id=”205798″]
[related layout=”big” permalink=”https://www.melablog.it/post/204794/graykey-ecco-il-cracca-iphone-che-indovina-il-pin-in-poche-ore”][/related]
Se, dopo aver adottato un PIN lungo da 6 cifre, pensavate di aver messo al sicuro i vostri, dati sappiate che non è così. GrayKey, la scatoletta cracka-iPhone in uso presso le forze dell’ordine, può sbloccare qualunque dispositivo iOS in circa 11 ore. Ecco come irrobustire la sicurezza.
Le autorità del mondo si stanno attrezzando con un box che consente di sbloccare due iPhone per volta, a prescindere dalla versione di iOS installata, e di accedere così a tutti i dati contenuti sui dispositivi. Il gingillo in questione è portatile, si chiama GrayKey ed è prodotto da Grayshift.
Da principio, si pensava che impiegasse ore per individuare un PIN a 4 cifre, e giorni interi per quello da 6; ora, invece, apprendiamo che i tempi sono molto più stringati:
- 4 cifre: ~13 min nel peggiore dei casi (~6.5 min in media)
- 6 cifre: ~22.2 ore nel peggiore dei casi (~11.1 min in media)
- 8 cifre: ~92.5 giorni nel peggiore dei casi (~46 min in media)
- 10 cifre: ~9259 giorni nel peggiore dei casi (~4629 min in media)
E non pensiate di essere al sicuro perché avete abilitato il ripristino automatico dell’iPhone dopo 10 tentativi infruttuosi di immissione del PIN: GrayKey supera anche questa limitazione.
Come Proteggersi?
Se questa tecnologia restasse appannaggio delle forze dell’ordine, non ci porremmo neppure il problema; ma chi ci garantisce che non possa finire nelle mani sbagliate? O che un hacker sviluppi un’alternativa a GrayKey altrettanto efficace?
Ecco dunque le linee guida per creare PIN dell’iPhone di adeguata sicurezza:
- Il codice dovrebbe essere di almeno 7 caratteri, meglio 10
- Non ci dovrebbero essere parole presenti nel dizionario
- Dovreste includere sempre maiuscole, minuscole e numeri
- Dovreste sempre includere almeno un simbolo
- Più è complicata la password, meglio è
Potete modificare il PIN del vostro iPhone in Impostazioni > Touch ID e codice > Cambia codice > Opzione Codice > Codice alfanumerico personalizzato. Il problema poi è che una password complicata è anche più difficile da ricordare; ma questa è un’altra storia.