Come ci ha insegnato tuta la querelle tra Apple e FBI dei mesi scorsi di cui abbiamo parlato a più riprese, aggirare la sicurezza di iOS non è per nulla facile. Eppure negli ultimi giorni è emersa in rete una notizia poco rassicurante per i possessori di iPhone e iPad con iOS 10 che eseguono il backup dei propri dati in locale tramite iTunes. Trattandosi di un procedimento criptato, ci si aspetterebbe una sicurezza ancora maggiore, ma a quanto pare non è così.

A sostenerlo è Elcomsoft, azienda specializzata in soluzioni per il recupero dati dei dispositivi Apple. Alcuni suoi test hanno infatti dimostrato che forzare il backup crittografato con iTunes è molto più semplice e rapido se si cerca di colpire un dispositivo iOS 10 invece che uno con iOS 9.

“Abbiamo scoperto un grave difetto di sicurezza nel meccanismo di protezione dei backup di iOS 10 che ci ha permesso di sviluppare un nuovo attacco in grado di bybassare alcuni controlli di sicurezza”. Così scrivono gli esperti di sicurezza di Elcomsoft in una nota ufficiale e questo difetto di sicurezza accennato si deve al nuovo metodo di cifratura introdotto da Apple in iOS 10. Si tratta più precisamente dell’algoritmo di hashing Sha256 a interazione singola, al posto del precedente Pbkdf2 di iOS 9 che invece prevede diecimila interazioni al secondo.

In questo modo un hacker potrebbe ricorrere a un software di cracking per trovare la password necessaria a penetrare nel backup di iTunes circa 2.500 volte più velocemente rispetto a quanto non potrebbe fare attaccando un device con a bordo iOS 9. Nei test di Elcomsoft, utilizzando un processore Intel i5, è stato possibile provare circa 6 milioni di password al secondo e si può quindi capire come questo metodo, seppur non riesca ancora a sfruttare le prestazioni ancora maggiori di una GPU, possa portare un hacker al successo in molto meno tempo rispetto a prima.

Tutto quanto scritto finora non vale invece per i backup eseguiti su iCloud, ma nonostante ciò il rischio che si corre è piuttosto elevato. Anche perché in un backup, oltre a contenuti come documenti, foto e altro, ci possono essere informazioni sensibili come password (per il Wi-Fi o per l’accesso a diversi siti), numero della carta di credito e altro ancora. Ecco perché Apple ha già promesso che rilascerà al più presto un aggiornamento per iOS 10 proprio per risolvere questa vulnerabilità, sebbene al momento non ci siano tempistiche precise.