Il nuovissimo sistema di autenticazione a due passaggi introdotto da Apple per proteggere i nostri account iTunes sarebbe insufficiente a proteggere efficacemente i nostri backup online tramite iCloud. Lo dice la società ElcomSoft: leggiamo assieme i dettagli.
Il sistema di accesso a due passaggi è ormai utilizzato da tantissime realtà informatiche. Nel caso di Apple questo prevede l’inserimento di un codice a 4 cifre che ci verrà inviato tramite SMS o messaggio su Trova il mio iPhone, oltre all’utilizzo della canonica password a scelta dell’utente.
Nel caso in cui l’utente smarrisse la password dell’account, avremo la possibilità di recuperarla sfruttando lo stesso sistema, senza quindi il bisogno di perdere tempo rispondendo alla domanda segreta impostata nel momento della creazione dell’account.
Tuttavia, sebbene l’idea di fondo sia già stata usata ed abusata su altri lidi, alcuni ricercatori di ElcomSoft avrebbero trovato problemi evidenti nel sistema utilizzato da Apple: una volta che un malintenzionato ottiene i dati per l’accesso questo ha il libero arbitrio sui dati di iCloud, incluso i backup online dei nostri dispositivi con tutti i dati sensibili, anche se abbiamo attivato il sistema di sicurezza a due passaggi.
“Nella sua implementazione attuale, l’autenticazione di Apple a due passaggi non nega la possibilità di installare un backup di un dispositivo iOS su un altro che non ne ha il permesso”, si legge sul rapporto di ElcomSoft. “In più, e questo è un problema gravissimo, l’implementazione di Apple del sistema non viene applicata sui backup di iCloud, permettendo a chiunque sappia i dati d’accesso di accedere e scaricare qualsiasi informazione salvata sul servizio online della società.”
Sostanzialmente basta avere i dati di log-in del nostro account (ottenibili nei modi più disparati tramite siti di phishing o sistemi realizzati ad-hoc per estorcerli a nostra insaputa) per avere il pieno controllo dei backup dei dispositivi salvati su iCloud, a prescindere dalla presenza del doppio sistema di autenticazione. ElcomSoft nelle sue prove è riuscita a scaricare un backup usando i dati per l’accesso senza nemmeno venire in contatto con il nuovo sistema di autenticazione; inoltre nemmeno la presenza fisica del dispositivo da cui è stato estratto il backup è stata necessaria.
Inoltre, Apple manda il PIN per l’identificazione al dispositivo e questo è visualizzabile da tutti in quel momento dalla stessa schermata di blocco del dispositivo. ElcomSoft suggerisce metodi diversi per gestire la situazione ed afferma che un sistema di questo tipo dia l’impressione di essere un prodotto ancora non finito e non assolutamente sicuro come dovrebbe essere in realtà.
Il nuovo sistema a due passaggi è stato introdotto in Italia lo scorso 13 maggio, assieme ad altri 12 paesi, fra cui: Argentina, Austria, Belgio, Brasile, Canada, Pakistan, Polonia,Portogallo, Germania, Messico, Olanda e Russia. Alcune settimane prima era già stato presentato in Stati Uniti, Regno Unito, ed altri paesi.
Via | CultOfMac
Leggi o Aggiungi Commenti