skip to main | skip to sidebar
27 commenti

Come scavalcare il PIN di uno smartphone? Con l’astuzia

Ultimo aggiornamento: 2016/04/09 15:35.

Si è parlato molto dei recenti problemi dell’FBI nello sbloccare l’iPhone di un terrorista, e questo ha creato una diffusa impressione che gli inquirenti siano sistematicamente beffati dalle protezioni offerte dalle tecnologie digitali. Non è sempre così, e una vicenda che arriva dal Regno Unito lo mostra chiaramente.

Junead Khan, un venticinquenne di Luton, ha ricevuto la visita di due dirigenti dell’azienda dove lavorava come autista addetto alle consegne. I due gli hanno chiesto chiarimenti sui suoi spostamenti e sulla sua presenza durante l’orario di lavoro e Khan ha risposto tirando fuori il proprio iPhone e dandolo in mano ai due interlocutori per mostrare loro il registro delle proprie attività.

Ma a questo punto i due interlocutori hanno rivelato di essere agenti di polizia in borghese e si sono tenuti il telefonino, che Khan aveva ovviamente sbloccato, e ne hanno disattivato subito il blocco. Khan era infatti sospettato di attività di preparazione di atti di terrorismo e secondo gli inquirenti la perizia sul suo smartphone ha rivelato documenti e informazioni che hanno confermato questo sospetto e hanno portato alla sua condanna insieme a un complice.

In altre parole, non c'è stato bisogno di ricorrere a backdoor o all’imposizione di crittografia debole per superare le difese dell’aspirante terrorista: è bastata un po’ di astuzia vecchio stile. Come al solito, l’anello più debole della catena di sicurezza è l’utente.


2016/04/09 15:25. Molti lettori hanno obiettato che per cambiare il codice di blocco (PIN) di un iPhone è necessario conoscerlo e digitarlo. Ma probabilmente la polizia britannica non ha cambiato il codice, ma ha semplicemente disattivato il blocco automatico temporizzato. Su un iPhone con iOS 9.3.1 (la versione più recente di iOS) ho verificato che è possibile farlo senza digitare il codice di blocco: dopo che il telefonino è stato sbloccato, si va su Impostazioni - Generali - Blocco automatico e si sceglie Mai. Grazie ad amo bonino per la dritta!
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (27)
Scusate ma mi sembra una cavolata, solitamente (almeno funzionano così i terminali android) per poter rimuovere il blocco con PIN viene chiesto l'inserimento del nuovo PIN.

Anche se qualcuno mi ruba il telefono sbloccato o lo mantiene sempre attivo o come passano 15 secondi di inattività il telefono si blocca in automatico. Per rimuovere la protezione (PIN o Impronta digitale) serve nuovamente l'immissione del PIN.

Senza contare i mille modi che esistono per poter bloccare il telefono da remoto o cambiare il PIN.
Beh la maggior parte degli smartphone, richiede il PIN per disattivare il blocco. Gli inquirenti dovrebbero avere qualcuno che continuamente faccia qualcosa con il telefonino per evitare il blocco automatico.
Ma per disattivare il blocco non bisogna inserire nuovamente il PIN anche se il telefono è sbloccato?
Il social engineering è una delle tecniche di hacking più efficaci in assoluto. Le persone sembra non aspettino altro di rivelare password, dettagli personali, informazioni utili a cogliere spiragli nei loro sistemi.
I terroristi, per fortuna, sono ingenui quanto tutti noi altri...
Android chiede conferma del codice di sblocco (pin o sequenza che sia) per modificare le impostazioni di sblocco, l'iPhone non lo fa?
Per disattivare il blocco è necessario inserire nuovamente il codice sblocco. Probabilmente quando l'utente lo ha sbloccato la prima volta non si è curato di nascondere il codice.
Ma per disabilitare il blocco non bisogna comunque inserire il pin?
Forse ha ragione Giuseppe in commento 6, magari la persona ha sbloccato il telefono davanti a loro con PIN e quindi gli agenti hanno potuto vedere il PIN inserito.

Motivo per il quale gli smartphone che usano lo sblocco con impronta digitale sono più sicuri, se lo sblocco con l'impronta nessuno sarà in grado di carpire il mio PIN semplicemente guardandomi.

Basta un viaggio in metropolitana per beccare qualche decina di PIN.
Probabile che fossero muniti di videocamere nascoste e hanno ripreso la sequenza del PIN o più semplicemente lo hanno memorizzato al volo
Spetta... faccio una considerazione che non ha fatto nessuno finora: ma per togliere il blocco con PIN non bisog... tare... IN?

;)
Non sono d'accordo con l'abitudine dei corpi di polizia di rivelare i dettagli di come sia stato possibile fare questo o quello: sono tutti dettagli che aiutano i prossimi malfattori ad organizzarsi meglio.
si ragazzi, anche negli iphone bisogna inserire il codice pin per accedere alle impostazioni di sicurezza. inoltre, imo, il fatto che il ragazzo abbia volontariamente dato in mano a due sconosciuti il proprio telefono sbloccato costituisce già una prova sufficiente a scagionarlo anche da un'accusa di furto di caramelle :DDD
@big-lello: fesso non è uguale a innocente :-)
In gamba, i due detective. Se anche non fossero riusciti a vedere il PIN, basta impostare subito la sospensione il più tardi possibile (sul mio android 30 minuti), e ricordarsi di fare qualcosa entro quel termine,il telefonone resterà acceso e sbloccato.
Potrebbero aver disattivato lo spegnimento automatico dello schermo
Tutti,

la storia del PIN scavalcato è citata da CNN con queste parole: "The undercover officers asked to see his iPhone and Khan handed it over. After that, he was arrested. British police had 30 seconds to change the password settings to keep the phone open."

Anche a me ha destato perplessità questa spiegazione, ma viene data per buona anche da Ars Technica, di solito molto attendibile su questioni tecniche.

Indago e faccio qualche prova.
Per disattivare il blocco é necessario il pin, per cambiare i tempi di disattivazione schermo no...
Inoltre, magari é bastato tener attivo lo schermo fino al pc piú vicino, e li é stata fatta una copia forense della memoria...

Comunque lo sblocco con impronta mi pare tutt'altro che sicuro, la trasmissione tv mythbusters ha effettuato qualche prova con serrature a lettura d'impronte, e son "cadute" con metodi fanciulleschi...
Inoltre credo che le forze di polizia possano prenderti il ditino e strusciartelo coercitivamente sul cellulare...
Sul mio OPX non c'è un timeout entro il quale posso disattivare il PIN senza doverlo rimettere.
c'è un dettaglio che non mi torna. Anche se il telefono è sbloccato, per rimuovere il blocco bisogna digitare ancora il PIN. A quel punto cosa avrebbe impedito a Khan di non rivelarlo o di rivelarlo sbagliato?
Il PIN e il "codice di sblocco" sono due cose diverse, il primo è relativo alla SIM CARD, il secondo riguarda il telefono. L' iPhone, una volta che è acceso e funzionante, si sblocca con il codice o, per i modelli dal 5S in poi con il lettore di impronte.
Il tempo di blocco automatico va da 30 secondi a 5 minuti, con step di un minuto e può essere cambiato senza inserire alcun codice, così come non serve alcun codice per cambiare lo sfondo. Diverso è cambiare il PIN che richiede di conoscere il PIN attivo o il PUK, nel caso si sia inserito per tre volte il PIN errato, ma il PIN è della SIM, non del telefono.
amo bonino,

Il codice di sblocco si può chiamare PIN anch'esso dato che è un acronimo inglese che sta per Personal Identification Number.

Sono due PIN diversi che agiscono su due cose diverse come dici, ma si possono identificare entrambi con il termine PIN.

Lo stesso dicasi per il PIN del Bancomat o il PIN della carta di credito o il PIN di un impianto d'allarme.

Siamo abituati a pensare al PIN come ad un termine che va usato solo per certe cose, in realtà è una sigla che si adatta a qualsiasi sequenza di numeri di sicurezza per accedere a qualsiasi apparecchio.

Nel nostro caso si può parlare di SIM PIN e PIN di sblocco, ma PIN rimangono.
Stupidocane
D'accordo che possiamo chiamarli PIN, ma così facendo si perde in chiarezza e si genera confusione anche perché stiamo parlando di due codici diversi che hanno scopi diversi. Comunque il concetto che volevo esprimere è che non c'è bisogno di inserire alcun codice per modificare il tempo di blocco automatico per un iPhone (sbloccato) e che anzi, può essere disattivato (tempo = mai), che poi alla fine penso sia quello che hanno fatto gli agenti.
per disattivare il blocco.. bisogna immettere il codice.. comunque..
aaah saranno stati dell'FBI .. loro non hanno bisogno di aiuti ulteriori per sbloccare i telefoni... :D
MacLo
Su iPhone 5S con IOS 9.3.1

Da:
Impostazioni
Generali
Blocco automatico
Opzioni: 30 secondi, un minuto,...,mai


Confermo, si può selezionare l'opzione " blocco automatico -> mai " senza dover inserire codici.
ma e' legale? :)