La sicurezza è una tematica particolarmente sensibile quando si tratta di dispositivi, e la Apple nel corso dei vari anni ha studiato varie misure per riuscire a tutelare i suoi utenti e la sicurezza di device come l’iPhone, per fare in modo che l’utenza non fosse vittima di attacchi malevoli e infiltrazioni indesiderate. Alcuni mesi fa aveva già annunciato infatti di essere infine giunta ad un margine di sicurezza ancora più ampio grazie al nuovo metodo di accesso costituito dall’identificazione al momento dell’accesso strutturato in due passaggi. Rispetto al metodo precedente infatti, per accedere al proprio Apple ID non sono necessari solamente i dati classici di login, ma anche un PIN di quattro cifre inviato al dispositivo iOS stesso, ad esempio l’iPhone, da inserire al momento della convalida per l’accesso. Questo metodo è già stato utilizzato da molte altre compagnie, e sembrava che la Apple fosse giunta ad una prova garantita al 100% in termini di garanzia e di tutela dei dati sensibili, invece sembrerebbe che non sia così.
La ElcomSoft, compagnia russa specializzata nella realizzazione di programmi per craccare password, ha evidenziato come in realtà il sistema di identificazione in due passaggi della Apple presenti delle lacune piuttosto gravi che, a differenza di quanto riportato dalla Apple stessa per rassicurare gli utenti in possesso di iPhone et similia,non garantirebbero quella protezione tanto lodata e avvalorata inizialmente. Se infatti, sostiene la ElmoSoft, venisse bypassato il sistema di autentificazione attuale riuscendo a risalire ai dati necessari per il login, si può tranquillamente accedere all’iCloud e a tutti i dati presenti all’interno. Per dare un’idea della pericolosità della minaccia, basti pensare che su iCloud sono disponibili tutti i backup del dispositivo iOS, pertanto un malintenzionato potrebbe tranquillamente scaricare tutte le informazioni dei backup di un iPhone senza problemi e scaricarle su un altro dispositivo iOS senza problema alcuno. Le ElcomSoft ha riportato queste informazioni nel seguente comunicato:
“Nella sua implementazione attuale, l’autentificazione due fattori della Apple non impedisce a nessuno di ripristinare un backup iOS in un nuovo (e non sicuro) dispositivo. In aggiunta a questo, e ciò costituisce un problema molto più grave, l’implementazione della Apple non si applica ai backup presenti su iCloud, permettendo a chiunque conosce l’Apple ID e la password dell’utente di scaricare e accedere ad ogni informazione immagazzinata su iCloud. Questo è facile da verificare; eseguite semplicemente il login sul vostro account iCloud, e avrete piene informazioni su qualsiasi cosa sia presente lì senza che vi venga richiesto alcun dato ulteriore per accedere. Secondo l’opinione della ElcomSoft, questo semplicemente non è il modo giusto sotto una prospettiva legata alla sicurezza. iCloud è stato sfruttato in passato e sarà sfruttato in futuro.”
La Apple dunque non avrebbe così risolto il problema legato alla sicurezza della propria utenza, lasciano quindi che dispositivi come un iPhone rimangano in balia di eventuali virus e infiltrazioni non controllate. Questo tuttavia non sarebbe l’unica falla evidenziata dal controllo della ElcomSoft, che punterebbe il dito anche contro il modo stesso in cui viene mostrato il messaggio recante il codice da inserire per l’autentificazione in due passaggi. Quando viene inviato il messaggio con il codice da inserire infatti, viene visualizzato direttamente nella schermata di sblocco, senza che sia necessario inserire il PIN. Questo costituirebbe per la Apple un’altra grave colpa, secondo la compagnia russa, che lascerebbe ancora più spazio ad eventuali cattive intenzioni per chiunque desiderasse accedere a dispositivi iOS. Attualmente questo sistema di autentificazione è già in vigore negli Stati Uniti, in Inghilterra, Irlanda, Germania, Russia, Austria, Portogallo, Belgio, Australia, Brasile e Polonia, oltre che in Italia ( a partire dal 13 maggio di quest’anno). Una bella lavata di capo che non lascerà indifferente le alte sfere della Apple sicuramente e rimarrà un monito anche per le altre compagnie nei prossimi aggiornamenti in termini di sicurezza su iOS.