Costa 500 dollari, è un dispositivo che può sbloccare ogni iPhone 7 e 7 Plus
Negli anni in cui abbiamo seguito il mondo informatico e la sua evoluzione abbiamo capito alcune cose, e fra queste c’è che nessun sistema è inespugnabile. Non fanno naturalmente eccezione i dispositivi Apple che, sebbene siano barricati in un ecosistema chiuso ed estremamente protetto, possono cadere anch’essi sotto i colpi di hacker ed eventuali aggressori. A conferma di ciò l’ultimo exploit annunciato pubblicamente via YouTube dal canale EverythingApplePro, che ha provato un dispositivo che può scardinare le difese di ogni iPhone 7 e iPhone 7 Plus.
Il costo è di soli 500 dollari, un’inezia se consideriamo le potenzialità dell’hack in questione: il dispositivo è conosciuto come “iPhone hack box” e sfrutta il processo di aggiornamento di iOS per eseguire un exploit capace di aggirare le schermate di blocco protette con password di tre smartphone contemporaneamente. L’exploit utilizza il metodo brute force per provare le differenti combinazioni senza scatenare le protezioni apposite del SO: funziona solamente su iPhone 7 e iPhone 7 Plus, i più recenti, e da iOS 10.3.3 alle prime versioni beta di iOS 11.
Contattata da TechCrunch, Apple ha infatti dichiarato che il bug sfruttato dall’exploit sarà del tutto eliminato sulla versione finale di iOS 11, ed è stato corretto sin dalla beta 4 del sistema operativo. Il piccolo dispositivo contiene tre porte USB e non è in grado di sbloccare terminali con versioni precedenti del sistema operativo della Mela rispetto a quelle indicate. Su questi smartphone, però, il dispositivo può consentire l’installazione della versione desiderata senza l’uso di alcuna password, per poi sbloccarlo e accedere a tutti i dati integrati.
Stando a quanto spiega il canale YouTube, il device sfrutta nella fattispecie un “loophole” nel sistema di ripristino grazie al quale è possibile inserire la password un numero illimitato di tentativi. Nel video possiamo vedere l’exploit eseguito su un iPhone 7 collegato ad un MacBook Pro con Windows in esecuzione. Lo smartphone viene impostato nella modalità DFU e poi collegato ad un’applicazione chiamata 3uTools che ne forza l’aggiornamento senza richiedere la password all’utente. A questo punto scardinarne le difese è solo questione di tempo.
Trattandosi di un brute force, infatti, è possibile che la password venga scoperta e superata nel giro di poche ore, o di pochi giorni, in base alla complessità della modalità di sblocco utilizzata.
La notizia assume un certo interesse se si pensa al caso dell’iPhone 5C dell’attentatore di San Bernardino, per cui l’FBI avrebbe investito 900 mila dollari per ottenere i dati installati al suo interno. Per l’occasione alcuni ricercatori di sicurezza avevano affermato che sarebbero bastati anche meno di 100 dollari per l’exploit, e parliamo di un dispositivo certamente meno sicuro rispetto agli attuali modelli con le più recenti versioni di iOS. (fonte)
