La obtención de la contraseña de una copia de seguridad de iTunes proporciona acceso a todos los datos del backup, incluyendo la almacenada en el llavero, el cual posee todas las contraseñas de un usuario y otra información sensible. En las pruebas realizadas por Elcomsoft se ve que las contraseñas son 2.500 veces más débil en comparación con iOS 9. En iOS 10 se puede obtener 6 millones de contraseñas por segundo, mientras que en iOS 9, en las mismas condiciones se obtenían 2400 contraseñas.
Figura 1: Comparación entre iOS 10 e iOS 9
En términos específicos, Apple ha cambiado el uso de un algoritmo de hashing denominado PBKDF2 con 10.000 iteraciones por el uso de SHA256 con una sola iteración, lo cual permite un aumento muy significativo de la velocidad cuando, mediante el uso de la fuerza bruta, se generan hashes. Muchos ven una teoría "conspiranoica" detrás de este cambio. En un comunicado de Apple se confirmó que la empresa es consciente del problema y está trabajando en una solución.
Apple indicó que están abordando el problema y que son conscientes de este hecho. Además, se recomienda utilizar FileVault para cifrar el disco de forma completa, por lo que el backup de iTunes estaría protegido de ataques offline al disco. Por último, cabe destacar que hay que proteger el backup con una clave compleja y fuerte.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...