Cerca nel blog

2010/05/28

iPhone, PIN scavalcato senza sforzo con Linux?

Questo articolo vi arriva grazie alle gentili donazioni di "ferruccio" e "mirko.cas*". L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/06/06.

Avete messo un PIN sul vostro iPhone, convinti che questo protegga i vostri dati, le vostre foto, i vostri indirizzi di mail e i vostri numeri di telefono riservati? Forse ho brutte notizie per voi.

L'esperto di sicurezza Bernd Marienfeldt del London Internet Exchange dice di aver scoperto che per scavalcare il PIN di un iPhone ultimo modello (3GS), con tutti gli aggiornamenti software al loro posto, è sufficiente collegare il telefonino a un computer sul quale gira il sistema operativo libero e gratuito Linux Ubuntu 10.04.

Sì, avete capito bene. Secondo Marienfeldt, basta avere un qualunque PC sul quale gira Ubuntu (deve essere la versione più recente, la 10.04, denominata Lucid Lynx). Si spegne l'iPhone, lo si collega tramite il suo cavetto USB al PC, e lo si riaccende. Il telefonino viene visto immediatamente, con accesso completo a musica, foto, video, registrazioni audio e quant'altro, come si vede nella schermata qui sopra, senza chiedere PIN.

Inoltre copiarne il contenuto e decifrarlo è un'operazione che richiede pochi minuti, e ci sono molti altri modi per scavalcare la protezione del PIN, come descritto nella presentazione preparata da Jim Herbeck della società ginevrina Nouvel Strategies.

Apple, stando a quanto scrive Marienfeldt, avrebbe confermato la vulnerabilità da lui scoperta, che a differenza delle altre tecniche di intrusione è spettacolare nella sua semplicità. Qualcuno riesce a replicarla? Pare strano che una magagna del genere sia rimasta nascosta finora, e varie fonti non sono riuscite ad ottenere lo stesso risultato.

Considerato che l'iPhone è spesso in mano ai dirigenti aziendali e quindi contiene mail di lavoro molto riservate e numeri di telefono di clienti e fornitori, essere consapevoli dell'insicurezza del modo in cui custodisce questi dati è essenziale. Non per i dirigenti, ma per i poveretti che si devono occupare della loro sicurezza informatica, che soffriranno non poco per spiegare il problema ai loro capi. Anche perché la documentazione Apple presenta l'iPhone 3GS come uno strumento sicuro di lavoro, visto che dichiara "cifratura hardware per tutti i dati memorizzati sul dispositivo". E se lo dice il venditore, dev'essere vero, giusto?


Aggiornamento 2010/06/06


Leggo su Punto Informatico che altri ricercatori hanno duplicato il fenomeno, che sembra avvenire solo se si chiude l'iPhone in modalità "sbloccata" e funzionerebbe particolarmente bene con Windows Vista. La causa: "alcuni componenti del sistema (iPhone) non hanno completato il boot quando viene inviata la richiesta di connessione attraverso l'interfaccia USB. In siffatte condizioni il demone di iPhone "lockdownd" permette la connessione e il pairing tra PC e melafonino, consentendo l'accesso al file system e ai dati dell'utente." Interessante.

Nessun commento: