iOS 10 utilizza un nuovo meccanismo di verifica della password per i backup di iTunes che le rende più facili da decifrare, come confermato dai test eseguiti dalla Elcomsoft, società specializzata in software per l’accesso ai dati dell’iPhone.
I backup crittografati creati sia su Mac che su PC tramite iTunes sono protetti da una password che può essere potenzialmente scovata tramite un attacco “brute force“, semplicemente sfruttando un apposito software di cracking. Il metodo di backup introdotto in iOS 10 salta alcuni controlli di sicurezza, permettendo di scovare le password 2.500 volte più velocemente rispetto ad iOS 9 e ai sistemi operativi precedenti.
Una volta ottenuta la password di un backup di iTunes, è possibile accedere a tutti i dati del telefono, compresi i codici memorizzati nel portachiavi. Nello specifico, con iOS 10 Apple ha deciso di utilizzare l’algoritmo di hashing PBKDF2 con 10.000 iterazioni, al posto dell’algoritmo SHA256 che prevedeva una sola interazione. Questo consente di effettuare attacchi “brute force” in modo molto più veloce, al solo fine di scovare la password del backup su iTunes.
In una dichiarazione rilasciata a Forbes, Apple ha confermato di essere a conoscenza del problema e sta già lavorando per una sua correzione: “Siamo a conoscenza del problema che riguarda il livello di crittografia dei backup di iOS 10 salvati su iTunes per Mac e PC. Stiamo studiando una soluzione, che arriverà con un imminente update. Il problema non riguarda i backup salvati su iCloud. Consigliamo ai nostri utenti di utilizzare sempre password complesse e di non fornire queste chiavi ad altre persone”.
E’ quindi probabile che una correzione arriverà con iOS 10.1, ora disponibile in versione beta.