Indovinare password di hotspot iOS in meno di un minuto

La password generata automaticamente da iPhone e iPad è così debole da cedere in poche decine di secondi agli attacchi.



[ZEUS News - www.zeusnews.it - 20-06-2013]

ios hotspot

La possibilità di usare lo smartphone o il tablet come hotspot Wi-Fi improvvisato è una di quelle piccole funzioni decisamente utili.

Chi a questo scopo utilizza un iPhone o un iPad può approfittare della funzione integrata di generazione della password, pensata per fornire un certo grado di sicurezza alla connessione così realizzata.

Alcuni ricercatori tedeschi dell'Università di Erlangen hanno però scoperto che tale password non è così sicura come si potrebbe credere: è infatti possibile predire, con poca fatica e rapidamente, quali password iOS genererà.

Il problema sta nel fatto che le password sono generate partendo da un dizionario composto da alcune migliaia di brevi parole (circa 52.200) e da alcuni numeri casuali.

Spiegano i ricercatori: «La lista proviene da una variante open source del gioco Scarabeo. Usando questa lista ufficiosa per portare attacchi basati su dizionario, abbiamo avuto un tasso di successo del 100% nel crackare le password di qualsiasi hotspot iOS».

Sondaggio
Utilizzi la funzione di salvataggio delle password nel browser?
Sì, è molto utile
Sì, ma ora non lo farò più perché non è sicuro.
Sì, ma solo per password di poco conto.
No, per sicurezza non ho mai memorizzato alcuna password nel browser.
No, perché? Le password si possono salvare?

Mostra i risultati (5856 voti)
Leggi i commenti (17)

Per arrivare a questo risultato è stata usata una GPU AMD Radeon HD 6990, la quale ha impiegato meno di 50 minuti per scoprire la password. A questo punto, i ricercatori si sono accorti che in realtà iOS non usa tutte le oltre 50.000 parole.

«Soltanto 1.842 voci di quel dizionario vengono prese in considerazione» hanno spiegato. «Di conseguenza, ogni password è basata su quelle 1.842 parole».

Tutto ciò, unito all'utilizzo di un hardware più potente (quattro AMD Radeon HD 7970s), ha permesso di scovare la password in meno di 50 secondi. E - notano i ricercatori - sebbene l'hardware usato non sia alla portata di tutti, oggigiorno tramite il cloud è facile ottenere la stessa potenza di calcolo.

Secondo gli autori dello studio, il problema è che chi ha progettato questa funzione ha voluto che la password fosse facilmente memorizzabile; in realtà, però, quando si tratta di hotspot mobili non è necessario che lo sia.

«Dopo che un dispositivo è stato collegato una volta digitando la password, le credenziali vengono generalmente memorizzate in una cache e riutilizzate per le connessioni successive»: non serve quindi che siano facili da ricordare per un essere umano.

Invece «le password generate dal sistema dovrebbero essere ragionevolmente lunghe e dovrebbero usare un set di caratteri ampio; di conseguenza, le password degli hotspot dovrebbero essere composte da sequenze completamente casuali di caratteri, lettere, numeri e simboli speciali».

Sebbene iOS sia finito nel mirino, i ricercatori sottolineano che anche gli altri sistemi più diffusi - Windows Phone e Android - hanno debolezze simili.

Nel caso di Windows Phone, il problema è che vengono utilizzati solo numeri a otto cifre, rendendo possibile un attacco. Nel caso di Android, sebbene la versione originale di Google generi password robuste, molti produttori di hardware modificano questo componente del sistema quando vanno a modificare l'intero sottosistema di gestione del Wi-Fi e utilizzano generatori di password più deboli.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Microsoft WiFi sostituirà Skype
Password facili da ricordare ma sicure
Un italiano su tre spia le mail del partner

Commenti all'articolo (4)


Quoto in pieno! Non mi sembra così difficile inventarsi una password più complicata di un numero composto da 8 cifre o di quelle originate da Scarabeo che saranno quindi composte da sole lettere (anche se questo nell'articolo non è specificato). Io normalmente uso password con un minimo di 12 caratteri alfanumerici con maiuscole e... Leggi tutto
25-6-2013 19:28

@zeross Se non fosse che è una delle prime cose che controllano! CF Piva data di nascita civico posizione dei tasti (12345 o qwerty) ecc.. Ciao
21-6-2013 20:53

In italia basterebbe usare come password i sedici caratteri del proprio codice fiscale, che ognuno trova sulla propria tessera per ottenere un codice abbastanza lungo, alfanumerico, non contenente parole e variante nella composizione da avere la password migliore. In più se uno se lo dimentica o proprio non se lo ricorda basta leggere la... Leggi tutto
21-6-2013 16:59

Insomma in definitiva WP è il peggiore, IOS potrebbe migliorare e Android solo (ma non è detto chi e perchè) nello sciagurato caso che un pirla di costruttore le renda più deboli. :roll: Ma inventarvela voi una password? Troppa fatica... :lol: :lol: :lol: Ciao
21-6-2013 03:05

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Come ti comporti quando ricevi una "bufala" via email?
A costo di cancellare anche avvisi potenzialmente veri, straccio tutto appena arriva.
Li leggo e inoltro solo quelli che ritengo potenzialmente veri, ma all'atto pratico non me ne curo.
Inoltro quelli veri e ne seguo le indicazioni.
Ma quali bufale? Ho appena vinto 1.000.000 di euro rispondendo a una email.
Io stesso ho messo in circolazione qualche bufala.

Mostra i risultati (3220 voti)
Luglio 2021
Windows 10, svelato l'aggiornamento 21H2
Zitto zitto, il Parlamento Europeo vara la sorveglianza di massa di tutte le email
La UE ci riprova col caricabatterie unico
Stuxnet, il virus informatico più distruttivo della storia
Windows 11, niente update da Windows 7 e 8.1
Falla critica nel sistema di stampa di Windows, e la patch ancora non c'è
Un assaggio del nuovo Office, riprogettato per Windows 11
Giugno 2021
Windows 11, il mio PC riuscirà a eseguirlo?
Windows 11, non abbiate fretta di installarlo
Un blackout informatico molto, molto canadese
Windows 11 sarà più veloce di Windows 10
Windows 11, l'update da Windows 7 e 8 sarà gratis
Windows 11, l'ISO del sistema finisce in Rete
Windows 11, i primi screenshot sfuggono in Rete
Tutti gli indizi che puntano a Windows 11
Tutti gli Arretrati
Accadde oggi - 24 luglio


web metrics