La ''backdoor'' di iOS che facilita la sorveglianza

Un intruso potrebbe scavalcare le protezioni e accedere ai dati. Apple risponde che non è un bug, ma una feature.



[ZEUS News - www.zeusnews.it - 21-11-2014]

ios storage encryption

Un ricercatore d'informatica forense, Jonathan Zdziarski, sostiene che nei dispositivi Apple che usano il sistema operativo iOS (iPhone, iPad, iPod touch) c'è una backdoor, ossia una via d'accesso che consente a un intruso di scavalcare le protezioni di sicurezza (password, PIN eccetera) a e accedere ai dati contenuti nel dispositivo nonostante siano cifrati.

La backdoor, secondo Zdiarski, funziona così: un dispositivo Apple può essere sincronizzato con un computer attraverso il pairing. In questo pairing vengono scambiate chiavi di cifratura e certificati che stabiliscono un canale di comunicazione cifrato (tunnel SSL) fra i dispositivi.

Queste chiavi non vengono mai cancellate, tranne quando si ripristina il dispositivo. Un aggressore può quindi infettare il computer di una vittima, estrarne le chiavi di pairing, e poi collegarsi via WiFi al dispositivo iOS.

Potrebbe, per esempio, creare una rete WiFi che ha lo stesso nome di quella usata dalla vittima, inducendo il dispositivo Apple a connettervisi automaticamente, e da lì trafugare tutti i dati contenuti nel dispositivo.

Apple ha risposto con un comunicato stampa, confermando l'accesso tramite pairing ma chiamandolo una "funzione diagnostica" necessaria per "sviluppatori, reparti informatici e Apple per la soluzione di problemi tecnici"; inoltre, sottolinea Apple, l'utente deve concedere fiducia al computer al quale si collega e i dati non vengono trasferiti senza il suo consenso (il pairing chiede all'utente un OK).

Sondaggio
La NSA non spiava solo i cittadini USA ma anche i governi di Francia, Germania e Italia. Qual è la tua reazione di fronte a questa notizia? (se vuoi dare risposte multiple o commentare ulteriormente, usa il forum)
Sono profondamente indignato: come si sono permessi?
Sono stupito che gli USA siano arrivati a questo punto.
In fondo lo fanno per prevenire gli attentati; quindi li giustifico, almeno parzialmente.
Non mi sorprende. E' da un po' che l'Europa non conta più un tubo.
Accidenti! Avranno ascoltato anche le telefonate con la mia fidanzata/o.
I nostri politici non hanno nulla di più importante di cui preoccuparsi?
Lo so perfino io che i telefoni sono spiati, figuriamoci i terroristi.
Avevano ragione quelli di Zeus News, quando già nel 2001 scrivevano di Echelon.

Mostra i risultati (2857 voti)
Leggi i commenti (15)

Zdziarski obietta che la quantità di dati resa accessibile tramite questa "funzione diagnostica" è assolutamente eccessiva: mail, Twitter, iCloud, tutti gli indirizzi della rubrica (comprese le voci cancellate), la cache, le geolocalizzazioni e l'intero album fotografico. C'è un servizio, com.apple.pcapd, che consente il monitoraggio senza fili di tutto il traffico di rete entrante e uscente dal dispositivo iOS. Zdziarski, fra l'altro, usa queste tecniche per sorvegliare i propri figli dotati di iPhone.

A distanza di qualche giorno, Apple ha pubblicato i dettagli tecnici di queste "funzioni diagnostiche", ma Zdziarski continua a obiettare che i dati accessibili con questa tecnica non c'entrano nulla con la diagnosi dei problemi tecnici e che quest'accesso non dovrebbe essere possibile via Wi-Fi e non dovrebbe scavalcare la cifratura dei backup.

Fonti aggiuntive: Ars Technica.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Gli smartphone low-cost con backdoor incorporata
La scatola nera che sorveglia il web

Commenti all'articolo (ultimi 5 di 6)

{MacRaiser}
Errata corrige: " Apple -non- l'avrebbe chiusa."
26-11-2014 08:01

{MacRaiser}
Fosse stata davvero una "funzione diagnostica" e non una backdoor, Apple l'avrebbe chiusa. link
26-11-2014 08:00

Pacchetto pronto a disposizione di NSA??? :twisted:
22-11-2014 14:06

Concordo. :(
20-11-2014 23:17

{Peiote}
Direi che il commento di amldc è la sintesi massima dell'operato di Big Informatics, con qualsiasi nome appaia nel caso in esame.
20-11-2014 17:45

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te, come bisogna definire chi commette intrusioni informatiche?
un hacker
un cracker
un grissino

Mostra i risultati (4455 voti)
Febbraio 2020
Il ransomware che prende di mira gli italiani
Il browser per navigare sempre in incognito
Equo compenso, raffica di aumenti per Pc, smartphone e schede Sd
Come provare Windows 10X in anteprima, gratis
Windows 10, la patch causa più problemi di quelli che risolve
Gennaio 2020
Mummia di 3.000 anni torna a parlare
Microsoft per pietà aggiorna Windows 7
Agcom, due milioni di multa per Tim, Vodafone e Wind Tre
Windows 10: e adesso la pubblicità
Batterie al grafene, ormai ci siamo
Edge è morto, viva Edge (Chromium)
Il giorno della morte di Windows 7
The New Facebook, il social network cambia pelle
Samsung fa un balzo in avanti con il Galaxy S20
Dicembre 2019
Le peggiori password del 2019
Tutti gli Arretrati


web metrics