iOS 10: falha de segurança facilita (e muito) a ação de crackers

O iOS 10 foi anunciado com algumas novidades, sobretudo o redesign do iMessage e dos widgets. O que pouca gente contava é que o sistema também viria com uma falha de segurança que facilita bastante a ação de crackers. Em um estudo divulgado nesta sexta-feira (23), a Elcomsoft revela que é possível quebrar a segurança dos backups da nova versão do iOS 2.500 vezes mais rápido que nas anteriores.

Segundo a firma russa de segurança digital, a falha afeta os backups protegidos por senha feitos pelos usuários e armazenados localmente através do iTunes. No relatório, é dito que o iOS 10 adota mecanismos de segurança secundários muito mais fracos que "ignoram algumas verificações de segurança".

Apple have moved from pbkdf2(sha1) with 10K iterations to a plain sha256 hash with a single iteration only. Bruteforce with CPU! — Per Thorsheim (@thorsheim) September 23, 2016

Para Per Thorsheim, um dos pesquisadores do estudo, a falha pode estar relacionada ao novo algoritmo de hash adotado pela Apple, que, ao que tudo indica, é imensamente mais fraco que o anterior. Para se ter uma ideia da discrepância, devido a esse descuido da Maçã, é possível testar 6 milhões de senhas por segundo no iOS 10 utilizando um simples computador equipado com um Core i5.

Apesar de assustador, a Elcomsoft ressalta que o problema não pode ser explorado remotamente. O cracker precisa ter acesso aos backups localmente. Mesmo assim, vale o alerta e a pergunta: será que a Apple vai corrigir isso ou estaremos expostos a isso até um eventual iOS 11?

Fonte: Elcomsoft