Menú principal

martes, 27 de septiembre de 2016

Crackear contraseñas de backup de iOS 10 es mucho más rápido que antes

El sistema operativo iOS 10 utiliza un nuevo mecanismo de verificación de las contraseñas para las copias de seguridad realizadas con iTunes. Lo curioso es que este nuevo mecanismo es más fácil de romper, de acuerdo con las pruebas llevadas a cabo por la empresa Elcomsoft. Esta empresa está especializada en software diseñado para acceder a los datos del iPhone. Las copias de seguridad de iTunes están cifradas por una contraseña que, potencialmente, puede ser obtenida por fuerza bruta. El método de copia de seguridad de iTunes en iOS 10 salta ciertos controles de seguridad, lo cual permite al software de Elcomsoft tratar las contraseñas de copias de seguridad, aproximadamente, 2500 veces más rápido que en iOS 9

La obtención de la contraseña de una copia de seguridad de iTunes proporciona acceso a todos los datos del backup, incluyendo la almacenada en el llavero, el cual posee todas las contraseñas de un usuario y otra información sensible. En las pruebas realizadas por Elcomsoft se ve que las contraseñas son 2.500 veces más débil en comparación con iOS 9. En iOS 10 se puede obtener 6 millones de contraseñas por segundo, mientras que en iOS 9, en las mismas condiciones se obtenían 2400 contraseñas. 

Figura 1: Comparación entre iOS 10 e iOS 9

En términos específicos, Apple ha cambiado el uso de un algoritmo de hashing denominado PBKDF2 con 10.000 iteraciones por el uso de SHA256 con una sola iteración, lo cual permite un aumento muy significativo de la velocidad cuando, mediante el uso de la fuerza bruta, se generan hashes. Muchos ven una teoría "conspiranoica" detrás de este cambio. En un comunicado de Apple se confirmó que la empresa es consciente del problema y está trabajando en una solución.

Apple indicó que están abordando el problema y que son conscientes de este hecho. Además, se recomienda utilizar FileVault para cifrar el disco de forma completa, por lo que el backup de iTunes estaría protegido de ataques offline al disco. Por último, cabe destacar que hay que proteger el backup con una clave compleja y fuerte.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares