En un post la gente de ElcomSoft han analizado en detalle la seguridad de la implementación de Apple 2 Factor dejando claro algunas limitaciones muy importantes - como que de momento es opcional - para la seguridad de los terminales, sobre todo con Apple iCloud, por lo que te recomendamos que lo leas en detalle, pero te vamos a hacer un pequeño resumen aquí para que puedas entender lo más importante de lo que han explicado.
Apple iCloud no implementa 2 Factor
El servicio de Apple iCloud puede hacer backup para terminales iPod Touch o iPad WiFi, los cuales no tienen porque tener un teléfono. De hecho, muchos adolescentes tienen iPod Touch y no cuentan con un número de teléfono, por lo que si quisieran hacer uso del servicio de backup y restore en la nube con un 2Factor, no podrían hacerlo.
 |
| Figura 1: Apple iCloud sin verificación en 2 pasos |
Esto ha hecho que el sistema permita acceder a Apple iCloud sin usar 2Factor, a pesar de que la protección de la cuenta se haya hecho con 2 Factor. Es por ello que la herramienta de ElcomSoft Phone Password Breaker que permite manejar el backup de iOS en la nube siga funcionando sin necesidad de hacer uso de 2 Factor.
Implementación "a medias"
El uso de SMS como mecanismo de envío tiene además muchas limitaciones. La primera de ellas es que requiere de una operadorade telefonía, con lo que es necesario llegar a acuerdos con ellas en todos los países, por lo que aún Apple no ha desplegado este servicio en todos los países - como por ejemplo España -.
En segundo lugar, el SMS requiere una cuenta de teléfono, así que iPad WiFi o iPod Touch no pueden ser utilizados para recibir SMS, a pesar de que en teoría son dispositivos válidos para ello.
 |
| Figura 2: Previsualización de código 2Factor |
Para terminar, algunos usuarios tienen la previsualización de SMS activado, lo que haría que cualquier atacante con acceso físico pudiera acceder a esa información sin passcode.
No hay comentarios:
Publicar un comentario