skip to main | skip to sidebar
8 commenti

Patti Chiari e PIN scavalcati, qualche chiarimento

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 22014/04/02.

La puntata di Patti Chiari (RSI La1) di venerdì scorso, visionabile qui (con altre info e commenti qui), si è occupata estesamente di software-spia da installare sugli smartphone per sorvegliare spostamenti, messaggi e chiamate.

A 36 minuti circa dall'inizio ho partecipato a una dimostrazione di come è possibile scavalcare rapidamente un PIN a quattro cifre di sblocco dello schermo/tastiera. Questa parte ha suscitato qualche perplessità fra chi ha seguito la puntata, per cui chiarisco qui pubblicamente i dubbi principali che mi sono stati segnalati.

  • Lo smartphone Android usato per l'esperimento (immagine qui sopra) non era realmente il mio; è stato fornito da Patti Chiari su mia richiesta, dato che non desideravo dare accesso ai dati sul mio vero smartphone. Inoltre, per esigenze televisive, ero consapevole del “furto” del telefonino messo a segno dal collega Lorik Sefaj (l'“hacker”) dalla mia tasca della giacca. Questi sono gli unici aspetti di messa in scena televisiva: tutto il resto della prova alla quale ho presenziato è stato reale.
  • Per l'esperimento ho scelto intenzionalmente un PIN di media difficoltà (0852), usato frequentemente dall'utente medio, invece di uno completamente casuale, per creare una situazione realistica. Lo scopo dell'esperimento era infatti scoprire se era possibile scavalcare le protezioni adottate da un utente comune e, se sì, in quanto tempo. Di fatto, comunque, la tecnica usata funziona anche su PIN più casuali: semplicemente ci mette più tempo.
  • La voce fuori campo parla correttamente di un PIN scelto a caso, non di un PIN casuale: infatti mi è stato detto di scegliere liberamente un PIN qualsiasi, senza rivelarlo a chi poi avrebbe tentato di scavalcarlo.
  • Rispettando la politica di Patti Chiari, non rivelerò marca e modello del dispositivo usato per scavalcare il PIN (e respingerò qualunque commento che tenti di farlo): dirò soltanto che sfrutta il fatto che gli smartphone considerano “trusted” le tastiere collegate fisicamente e che un PIN o una password lunghi più di quattro caratteri rendono molto più impegnativo lo scavalcamento con questa tecnica (ma quanti utenti usano un PIN lungo?).
  • A 39 minuti circa, Lorik Sefaj dice che si può scavalcare anche il PIN di un iPad (e quindi, in linea di principio, di qualunque dispositivo iOS). Alcuni spettatori sono molto scettici su questo punto. Quello che ha detto Lorik è quanto risulta dalla documentazione del dispositivo scavalca-PIN; se posso, farò una prova pratica personale e ne pubblicherò i risultati.


Aggiornamento 2014/04/02


Finora mi è mancato il tempo di fare un testo completo personale e non me la sono sentita di immolare il mio unico dispositivo iOS per fare test potenzialmente distruttivi: me ne procurerò uno sacrificabile non appena riesco a trovarlo senza svenarmi.

Intanto, però, ho verificato che il mio iPad 2, sul quale gira iOS 7 non jailbreakato, accetta digitazioni dallo specifico dispositivo mostrato da Patti Chiari, collegato tramite un Camera Connection Kit.

Inizialmente l'iPad segnala “Impossibile usare dispositivo - HID Keyboard: il dispositivo collegato non è supportato”. Tuttavia quando tocco OK l'iPad accetta comunque le digitazioni provenienti dal dispositivo. Le digitazioni vengono accettate anche nella schermata del PIN di blocco.

In altre parole, è possibile scriptare il bruteforcing di un PIN di un iPad usando il dispositivo in questione. Non è detto che sia conveniente. Infatti c'è l'ostacolo dei timeout, che diventano progressivamente più lunghi man mano che aumenta il numero di digitazioni errate del PIN (1 minuto dopo 10 tentativi; se anche l'undicesimo fallisce, 5 minuti; se fallisce anche il dodicesimo, 15 minuti; se fallisce anche il tredicesimo, 60 minuti; altri 60 minuti se fallisce il quattordicesimo; oltre non ho provato). Ma se il PIN è fra quelli più comuni e lo script tenta per primi questi PIN comuni (come è avvenuto per il dispositivo Android), mettendosi in pausa per i tempi di timeout opportuni, il bruteforcing effettuato in questo modo può richiedere tempi lunghi ma tollerabili.

Tuttavia vorrei chiarire una cosa: Lorik Sefaj non ha specificato quale tecnica o dispositivo userebbe per scavalcare il PIN di un iPad. Infatti nella puntata di Patti Chiari, a 39:12, Lorik dice testualmente solo questo: “Tutti i moderni smartphone hanno queste possibilità di attacco”. Paola Leoni chiede: “Anche gli iPad?”. Lorik conferma: “Anche gli iPad, certamente” e non aggiunge altro. Non è detto, insomma, che userebbe il dispositivo usato per scavalcare il PIN dello smartphone Android. Mi ha confermato questo concetto privatamente.

Mi vengono in mente almeno un paio di metodi alternativi più eleganti di un bruteforcing tramite emulazione di tastiera: per esempio quelli basati su software per forensics e altri sistemi. Ma ho pattuito con la redazione di Patti Chiari di non rivelare i dettagli delle tecniche utilizzate o utilizzabili e quindi non posso aggiungere altro. In ogni caso, è indubbio che il PIN standard di un iPad e/o di un iPhone si possa scavalcare se si ha accesso fisico allo smartphone o al tablet per un tempo sufficiente.

Se qualcuno è ancora dubbioso ed è disposto a sacrificare un suo iPhone e un po' del suo tempo, posso organizzare una dimostrazione pratica.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (8)
Beh, stando a quello che dice Lorik, 0852 è veramente un PIN "facile": 4 cifre in sequenza sulla tastiera dal basso verso l'alto, dovrebbe essere uno dei primi ad essere testati...
Christian,

sospendo il tuo commento per prudenza. Se è esatto quello che dici, contattami via mail, per favore.
Interessante, unica soluzione: non perdere di vista lo smartphone. Al di là di tutto, se si ha un accesso fisico ad un qualunque dispositivo (uno smartphone, piuttosto che un server) si è in generali f*****. Salvo i contenuti criptati (in modo decente).
@Paolo, domanda per chiarire: si tratta del PIN di sblocco della tastiera vero? Non parliamo del PIN di sblocco della SIM che permette 3 tentativi secchi?

Ciao!
Fabio,

sì, è il PIN di sblocco schermo/tastiera. Ho aggiunto la precisazione all'articolo, grazie.
Mah, sono perplesso.

Anzitutto, se ti sei inventato in quel momento 0852, quel pin E' casuale: contiene sia numeri pari che dispari, non vi sono ripetizioni di numeri, non è legato a eventi che ti riguardano (es. mese e anno di nascita), come lo è 5961, che mi sono inventato in questo istante. :D

Poi, se il metodo che mette in atto il dispositivo è di tipo brute force, e anche considerando le esigenze televisive di brevità, il tempo che l' 'hacker' ci mette a scavalcarlo mi sembra decisamente ed ottimisticamente troppo breve.

Se invece sfrutta una vulnerabilità intrinseca di Android o dello smartphone, la complessità del PIN è del tutto irrilevante rispetto al tempo che serve per scavalcarlo, che sarà sempre lo stesso a parità di Android/modello di smartphone/'modello' e software del dispositivo di scavallamento.
quello che hai fatto c'entra con questo?
http://www.youtube.com/watch?v=QCqW6wXkz3Y
però qui ci mettono 16 ore mica 3 minuti....il video di patti chiari è stato tagliato?
balestria,

quello è un bruteforcing veramente grezzo. No, abbiamo usato un approccio piÙ elegante.