lunedì 21 marzo 2016 di Michele Nasi 2952 Letture

Un attacco porta alla decodifica delle foto su Apple iCloud?

Alcuni ricercatori della Johns Hopkins University, guidati dal professor Matthew Green, esperto crittografo già ampiamente noto alle cronache per aver svolto un'approfondita indagine sul codice del software TrueCrypt (vedere questi articoli), hanno rivelato di aver scoperto un modo per decifrare le foto salvate dagli utenti Apple sul servizio iCloud.

La falla, che nella sua "versione peggiore" sarebbe presente nelle versioni più vecchie del sistema operativo iOS, verrà definitivamente risolta nella versione 9.3, il cui rilascio è ormai imminente.

Un attacco porta alla decodifica delle foto su Apple iCloud?

Gli accademici non hanno per il momento rilasciato informazioni tecniche e dettagli sul codice da loro messo a punto limitandosi a spiegare che la segnalazione è stata inviata ad Apple, in privato, nelle scorse settimane e che analisi ed approfondimenti saranno pubblicati solamente dopo che la Mela avrà risolto il problema.


L'attacco sfrutterebbe una lacuna insita in iMessage: simulando il comportamento tenuto da un server Apple, gli aggressori possono sferrare un attacco che, tramite una serie di iterazioni, consenta di risalire alla chiave di decodifica per i file salvati su iCloud.

Stando alle indiscrezioni, sembra che il team capitanato dal professor Green sia riuscito a sferrare una sorta di attacco brute-force molto efficace. Pare infatti che il sistema Apple abbia permesso di stabilire la correttezza di ciascun byte della chiave confermando via a via la correttezza di ogni singolo spezzone.

Green non esclude che l'attacco possa già essere stato utilizzato da qualche criminale informatico anche perché non interesserebbe soltanto iMessage ma anche diverse altre applicazioni.





  1. Avatar
    Michele Nasi
    21/03/2016 19:16:17
    Sì, esattamente: "Although the students could not see the key’s digits, they guessed at them by a repetitive process of changing a digit or a letter in the key and sending it back to the target phone. Each time they guessed a digit correctly, the phone accepted it. They probed the phone in this way thousands of times". Al momento, non essendo noti i dettagli dell'attacco ho preferito non scendere in tecnicismi.
  2. Avatar
    quello
    21/03/2016 16:14:33
    via a via ??