iOS 10 simplifica spargerea parolelor care protejeaza backupurile. Apple promite sa rezolve problema

0
859

iOS 10 folosește un nou mecanism de verificare a parolelor backupurilor iTunes care le face mult mai simplu de spart, potrivit unor teste realizate de cei de la Elcomsoft, o companie specializată în dezvoltarea de programe pentru accesarea datelor de pe iPhone.

Backupurile criptate realizate în aplicația iTunes pentru Mac sau PC sunt protejate printr-o parolă care, mai nou, poate fi spartă printr-un atac de tip forță brută folosind programe specializate. Sistemul de backup din iOS 10 „sare peste câteva verificări de securitate”, permițând Elcomsoft și altor companii să încerce în fiecare secundă de aproximativ 2500 de ori mai multe parole comparativ cu iOS 9 și alte versiuni ale sistemului de operare pentru iPhone și iPad. Un număr mai mare de parole încercate pe secundă înseamnă creșterea probabilității spargerii lor într-un timp rezonabil.

Spargerea parolei unui backup iTunes criptat va oferi atacatorului acces la toate datele de pe un iPhone sau iPad, inclusiv pe cele stocate în Portchei (cum ar fi parolele, cardurile de credit, datele de sănătate și alte informații confidențiale). Backupurile criptate realizate în iTunes cuprind cele mai multe informații (comparativ inclusiv cu backupurile iCloud) și erau, până la lansarea iOS 10, cele mai sigure pentru utilizatori.

La ora actuală, avem o implementare timpurie care include recuperarea numai prin CPU. Noua verificare de securitate este cu aproximativ 2.500 de ori mai slabă comparativ cu anterioara ce era folosită în backupurile iOS 9. Momentan, obținem aceste viteze:

iOS 9 (CPU): 2400 de parole pe secundă (Intel i5)

iOS 9 (GPU): 150.000 parole pe secundă (NVIDIA GTX 1080)

iOS 10 (CPU): 6.000.000 parole pe secundă (Intel i5).

Expertul în securitate Per Thorsheim de la Peerlyst ne oferă și câteva informații tehnice cu privire la modificarea făcută de Apple. Potrivit acestuia, compania americană a trecut de la algoritmul de dispersare a datelor PBKDF2 cu 10.000 de repetiții, la algoritmul SHA256 cu o singură iterație, permițând creșterea semnificativă a vitezei de spargere a parolelor de criptare a backupurilor iTunes prin atacuri de tip forță brută.

Sursa imagine: Peerlyst
Sursa imagine: Peerlyst

Într-un răspuns oferit celor de la Forbes un purtător de cuvânt Apple a afirmat că Apple este conștientă de existența acestei erori și că lucrează la o rezolvare:

Suntem conștienți de existența unei erori care afectează tăria criptării pentru backupurile dispozitivelor cu iOS 10 realizate prin aplicația iTunes de pe Mac sau PC. Vom adresa această eroare printr-o actualizare de securitate viitoare. Aceasta nu afectează backupurile iCloud. Recomandăm utilizatorilor să se asigure că Mac-ul sau PC-ul lor este protejat cu parole puternice și că pot fi accesate doar de utilizatori autorizați. Măsuri suplimentare de securitate sunt disponibile cu criptarea FireVault a întregului disc.

După cum indică Apple, problema de securitate nu afectează decât backupurile create pe un Mac sau PC, nu și pe cele create în iCloud. Cei mai mulți utilizatori care folosesc iTunes pentru backup și au activat criptarea (dacă nu ai activat-o atunci backupurile tale oricum nu sunt deloc protejate) nu ar trebui să se teamă, întrucât este nevoie de acces direct la Mac-ul sau PC-ul pe care a fost realizată criptarea pentru a-i sparge parola.

Deocamdată nu se știe când va sosi actualizarea care să rezolve această problemă de securitate, însă este important de știut că atât iOS 10.1, cât și macOS 10.12.1 sunt în prezent testate de Apple. Dar cum până la lansarea versiunilor lor finale vor mai trece câteva săptămâni, există șanse mari ca Apple să lanseze iOS 10.0.3/iTunes 12.5.2 prin care să adreseze această problemă de securitate.

Până atunci, dacă folosești iTunes pentru a realiza backupuri dispozitivului tău iPhone sau iPad, asigură-te că ai activat criptarea și că profilul tău de pe computer este protejat cu o parolă sigură. În momentul în care actualizarea de software care va adresa problema va sosi, vă vom anunța și ar fi recomandat să actualizați dispozitivele/iTunes numaidecât.

- Reclamă -