iCloud e Activation Lock violati da un team di hacker

Un team di hacker ha annunciato di aver violato iCloud e Activation Lock, due delle funzionalità cardine dell'ecosistema Apple. L'attenzione è alta.



Il video che vedete qui sopra mostra una falla di iOS 7 che un malintenzionato potrebbe sfruttare a proprio vantaggio per guadagnarsi l'accesso al telefono, disattivando Trova il mio iPhone e Activation Lock senza conoscere la password di sblocco. È una procedura scoperta lo scorso aprile e -questo il vero orrore- non richiede grosse conoscenze tecniche: chiunque abbia accesso al telefono e sa cosa fare, può disporne come crede. La questione però stavolta è diversa. Un paio di hacker dai Paesi Bassi e dal Marocco -noti rispettivamente col nome di AquaXetine e MerrukTechnolog- affermano di aver violato la sicurezza di iCloud sui dispositivi iOS. La notizia l'ha data per primo il sito d'informazione tedesca De Telegraaf (qui la traduzione automatica di Google).

Leggi: iOS 7, un nuovo bug disabilita Trova il mio iPhone e Activation Lock senza password

Dopo aver studiato a lungo la trasmissione dei dati tra iPhone e i servizi Cloud di Apple, i due avrebbero scovato una falla su cui si sono concentrati negli ultimi cinque mesi. E ora, affermano di poter sbloccare qualunque gingillo iOS semplicemente ponendosi tra il dispositivo e i server della mela, e convincendo l'iPhone o l'iPad di avere a che fare con un server ufficiale. Una posizione privilegiata che, almeno in teoria, consentirebbe loro anche di conoscere le password legate agli Apple ID e tutte le altre informazioni personali presenti in iCloud.

A riguardo, iPhone in Canada osserva:

In realtà, i dati SONO crittografati. Ma quando un offendente adultera i dati durante una connessione SSL con un attacco di tipo man-in-the-middle, è possibile estrarre l'Apple ID e la password dell'account, visto che sono inviati in testo in chiaro all'interno di SSL, ha affermato Mark Loman.

Ovviamente, allo stato attuale non si conoscono le modalità con cui è stata fatta breccia nel cuore dei servizi di Cupertino, e in un primo momento gli esperti avevano nuovamente puntato il dito contro SSL; un bug che i lettori di Melablog conoscono già:

Dopo aver esaminato le affermazioni della comunità jailbreak, Mark Loman ha deciso di fare un po' d'investigazioni per conto suo e ha fatto una scoperta shoccante. SSL ha due compiti: uno, verificare la comunicazione col server preconfigurato; e due, impedire la manipolazione dei dati.
"Il problema sta nella verifica del certificato. Apple sembra aver deliberatamente lasciato perdere questo passaggio fondamentale richiesto per una comunicazione adeguatamente sicura. Hanno corretto il tiro lo scorso mese su iOS ma si sono dimenticati di risolverlo in iTunes. E la community del jailbreak ha già trovato il modo do farne uso."

Il riferimento è al bug in SSL/TLS corretto con iOS 7.0.6 e OS X 10.9.2 ma non in iTunes per Windows, e che ha causato gli strali degli esperti di sicurezza per la gestione poco reattiva degli update.

Approfondisci: iOS e OS X, la gestione degli update di Apple mette a rischio la sicurezza degli utenti

In realtà, in un secondo momento AquaXetine ha negato su Twitter il coinvolgimento di SSL; "LOL," ha scritto, "un bug in SSL? Assolutamente no." Il caso dunque è ancora aperto, e Apple non ha ancora neppure rilasciato un commento ufficiale sulla faccenda. Ci sarebbe quasi da ridere, se non fosse che i dati in pericolo sono nostri.

  • shares
  • Mail