Secondo quanto rivelato da Elcomsoft, una società specializzata in sicurezza e violazione di dispositivi, iOS 10 risulta decisamente più facile da violare in relazione ai backup tramite iTunes. il “grave difetto di sicurezza”, così come definito dall’interessata, interesserebbe una potenziale situazione di brute-force attack da perpetrarsi ai danni dell’ultime distribuzione OS di Apple.
I tecnici confermano che utilizzando una CPU Intel Core i5 senza supporto GPU, la velocità di elaborazione aumenta di 2.500 volte, il che si traduce in oltre 6 milioni di password-test al secondo con una probabilità di riuscita stimata tra l’80% ed il 90%. Il dato è quanto meno allarmante se si considera anche che per iOS 9 il massimo ottenibile era di 2.400.
Secondo la società, Apple avrebbe volutamente omesso alcuni controlli di sicurezza per iOS 10 in merito alla gestione dei backup che risultano perciò facilmente penetrabili pur rimanendo intesa la massima sicurezza dei dispositivi e del sistema stesso.
Forzare un iPhone o iPad a creare un backup offline e analizzare i dati risultanti è una delle poche opzioni esistenti per i dispositivi con iOS 10. È facile generare un backup locale se l’iPhone è sbloccato. Potrebbe essere possibile anche se il telefono è bloccato, usando dati di abbinamento estratti da un computer autorizzato
Il Backup iOS 10 resta perciò l’unico modo di ottenere la chiave master (o Keychain), una parte di memoria riservata all’aggiunta delle protezioni ai file. Al suo interno troviamo token di autenticazione e password, dati delle carte di credito, informazioni di login salvate su Browser Safari ed altri contenuti altamente sensibili. La chiave, nello specifico, non viene trasferita su iCloud ma viene conservata sul device nel Secure Enclave.
Una volta ottenuto il backup serve solo la password, facilmente ottenibile tramite attacco di forza bruta sfruttando la potenza elaborativa delle moderne piattaforme, Serve, quindi, un sistema che richieda un dispendio energetico e di tempo tale da scongiurare ogni tentativo di intrusione iOS 10. Apple conosce il problema e sta lavorando alla sua risoluzione. Ricordiamo, però, che la cosa ha effetto solo per backup su MAC e PC. Il prossimo aggiornamento risolverà la questione mentre, nel frattempo, si consiglia di proteggere il PC con una password robusta e con sistema di controllo accesso.