Cerca nel blog

2014/01/21

Patti Chiari e PIN scavalcati, qualche chiarimento

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 22014/04/02.

La puntata di Patti Chiari (RSI La1) di venerdì scorso, visionabile qui (con altre info e commenti qui), si è occupata estesamente di software-spia da installare sugli smartphone per sorvegliare spostamenti, messaggi e chiamate.

A 36 minuti circa dall'inizio ho partecipato a una dimostrazione di come è possibile scavalcare rapidamente un PIN a quattro cifre di sblocco dello schermo/tastiera. Questa parte ha suscitato qualche perplessità fra chi ha seguito la puntata, per cui chiarisco qui pubblicamente i dubbi principali che mi sono stati segnalati.

  • Lo smartphone Android usato per l'esperimento (immagine qui sopra) non era realmente il mio; è stato fornito da Patti Chiari su mia richiesta, dato che non desideravo dare accesso ai dati sul mio vero smartphone. Inoltre, per esigenze televisive, ero consapevole del “furto” del telefonino messo a segno dal collega Lorik Sefaj (l'“hacker”) dalla mia tasca della giacca. Questi sono gli unici aspetti di messa in scena televisiva: tutto il resto della prova alla quale ho presenziato è stato reale.
  • Per l'esperimento ho scelto intenzionalmente un PIN di media difficoltà (0852), usato frequentemente dall'utente medio, invece di uno completamente casuale, per creare una situazione realistica. Lo scopo dell'esperimento era infatti scoprire se era possibile scavalcare le protezioni adottate da un utente comune e, se sì, in quanto tempo. Di fatto, comunque, la tecnica usata funziona anche su PIN più casuali: semplicemente ci mette più tempo.
  • La voce fuori campo parla correttamente di un PIN scelto a caso, non di un PIN casuale: infatti mi è stato detto di scegliere liberamente un PIN qualsiasi, senza rivelarlo a chi poi avrebbe tentato di scavalcarlo.
  • Rispettando la politica di Patti Chiari, non rivelerò marca e modello del dispositivo usato per scavalcare il PIN (e respingerò qualunque commento che tenti di farlo): dirò soltanto che sfrutta il fatto che gli smartphone considerano “trusted” le tastiere collegate fisicamente e che un PIN o una password lunghi più di quattro caratteri rendono molto più impegnativo lo scavalcamento con questa tecnica (ma quanti utenti usano un PIN lungo?).
  • A 39 minuti circa, Lorik Sefaj dice che si può scavalcare anche il PIN di un iPad (e quindi, in linea di principio, di qualunque dispositivo iOS). Alcuni spettatori sono molto scettici su questo punto. Quello che ha detto Lorik è quanto risulta dalla documentazione del dispositivo scavalca-PIN; se posso, farò una prova pratica personale e ne pubblicherò i risultati.


Aggiornamento 2014/04/02


Finora mi è mancato il tempo di fare un testo completo personale e non me la sono sentita di immolare il mio unico dispositivo iOS per fare test potenzialmente distruttivi: me ne procurerò uno sacrificabile non appena riesco a trovarlo senza svenarmi.

Intanto, però, ho verificato che il mio iPad 2, sul quale gira iOS 7 non jailbreakato, accetta digitazioni dallo specifico dispositivo mostrato da Patti Chiari, collegato tramite un Camera Connection Kit.

Inizialmente l'iPad segnala “Impossibile usare dispositivo - HID Keyboard: il dispositivo collegato non è supportato”. Tuttavia quando tocco OK l'iPad accetta comunque le digitazioni provenienti dal dispositivo. Le digitazioni vengono accettate anche nella schermata del PIN di blocco.

In altre parole, è possibile scriptare il bruteforcing di un PIN di un iPad usando il dispositivo in questione. Non è detto che sia conveniente. Infatti c'è l'ostacolo dei timeout, che diventano progressivamente più lunghi man mano che aumenta il numero di digitazioni errate del PIN (1 minuto dopo 10 tentativi; se anche l'undicesimo fallisce, 5 minuti; se fallisce anche il dodicesimo, 15 minuti; se fallisce anche il tredicesimo, 60 minuti; altri 60 minuti se fallisce il quattordicesimo; oltre non ho provato). Ma se il PIN è fra quelli più comuni e lo script tenta per primi questi PIN comuni (come è avvenuto per il dispositivo Android), mettendosi in pausa per i tempi di timeout opportuni, il bruteforcing effettuato in questo modo può richiedere tempi lunghi ma tollerabili.

Tuttavia vorrei chiarire una cosa: Lorik Sefaj non ha specificato quale tecnica o dispositivo userebbe per scavalcare il PIN di un iPad. Infatti nella puntata di Patti Chiari, a 39:12, Lorik dice testualmente solo questo: “Tutti i moderni smartphone hanno queste possibilità di attacco”. Paola Leoni chiede: “Anche gli iPad?”. Lorik conferma: “Anche gli iPad, certamente” e non aggiunge altro. Non è detto, insomma, che userebbe il dispositivo usato per scavalcare il PIN dello smartphone Android. Mi ha confermato questo concetto privatamente.

Mi vengono in mente almeno un paio di metodi alternativi più eleganti di un bruteforcing tramite emulazione di tastiera: per esempio quelli basati su software per forensics e altri sistemi. Ma ho pattuito con la redazione di Patti Chiari di non rivelare i dettagli delle tecniche utilizzate o utilizzabili e quindi non posso aggiungere altro. In ogni caso, è indubbio che il PIN standard di un iPad e/o di un iPhone si possa scavalcare se si ha accesso fisico allo smartphone o al tablet per un tempo sufficiente.

Se qualcuno è ancora dubbioso ed è disposto a sacrificare un suo iPhone e un po' del suo tempo, posso organizzare una dimostrazione pratica.

Nessun commento: