Il processo di autenticazione a due step introdotto da Apple per rendere il nostro ID ancora più sicuro – che prevede l’invio al proprio iPhone-iPad di un codice di verifica separato quando si tenta di ripristinare la password o di effettuare altri cambiamenti – potrebbe avere qualche problema di sicurezza.
Il processo di autenticazione a due step ha lo scopo di verificare se l’utente che ha chiesto il ripristino della password è effettivamente il titolare dell’account e viene utilizzato ormai da moltissimi servizi online. Apple lo ha introdotto solo da un paio di mesi e, in questo periodo, alcune società esperte in sicurezza hanno avuto moto di verificare la reale sicurezza del procedimento.
Una volta che i dati di accesso per un ID Apple con autenticazione a due fasi sono compromessi, non c’è nulla che possa fermare gli hacker dall’accedere ai dati iCloud come il backup del dispositivo.
Nella sua implementazione attuale, l’autenticazione a due step offerta da Apple non impedisce a nessuno il ripristino di un backup iOS su un nuovo dispositivo non verificato. Inoltre, tale autenticazione non si applica ai backup di iCloud, permettendo a chiunque conosca password e ID Apple di un altro utente di scaricare e accedere a tutte le informazioni memorizzate proprio su iCloud. Questa falla è facile da verificare: è sufficiente accedere al tuo account iCloud e avrai accesso a tutte le informazioni complete per ogni cosa che hai memorizzato, senza che ti sia richiesto di effettuare un’autenticazione aggiuntiva per accedere ai backup.
In pratica, conoscendo la password di un Apple ID si può facilmente recuperare un backup memorizzato su iCloud, senza imbattersi nell’autenticazione a due step che avrebbe reso molto più complesso accedere a tali dati. Non è nemmeno necessario avere a portata di mano il dispositivo fisico, in quanto tutto è memorizzato online su iCloud.
Un altro problema di sicurezza è che Apple invia i codici di verifica a due step direttamente nella lockscreen di un dispositivo iOS, il che significa che chiunque potrebbe leggere quel PIN senza sbloccare il dispositivo. Ovviamente, in questo caso l’hacker avrebbe bisogno di un accesso fisico al dispositivo. Basterebbe, però, che Apple invii questo codice solo sulla schermata Home e non direttamente nella lockscreen. Questo tipo di approccio è possibile solo se la vittima è mirata.
Insomma, Apple ha fatto un passo avanti ma dovrebbe perfezionare il sistema per renderlo ancora più sicuro.