Falla en iOS 10 podría exponer las copia de seguridad

En la reciente versión del sistema operativo para móviles y tablets de Apple, iOS 10, contiene un fallo de seguridad importante que podría poner en riesgo las copias de seguridad almacenadas en un dispositivo local, de acuerdo con una empresa rusa que vende software de hacking orientado a iPhone.

De acuerdo con Elcomsoft, Apple introdujo un “mecanismo alterno para la verificación de la contraseña” en iOS 10 que “salta ciertos controles de seguridad” durante el proceso de generación de una copia de seguridad. Esta vulnerabilidad permite que al realizar ataques de fuerza bruta contra las contraseñas sea 2500 veces más rápido que en iOS 9, debilitando seriamente las copias de seguridad generadas a través de iTunes.

Utilizando una CPU i5 de Intel, la compañía fue capaz de probar seis millones de contraseñas por segundo. La misma CPU utilizada contra las copias de seguridad de iOS 9 sólo pudo realizar 2400 conjeturas de contraseñas por segundo. Este nuevo método de verificación, mucho más débil, sólo está presente en iOS 10; sin embargo, y de manera peculiar, la anterior versión que se ejecuta en iOS 9 y anteriores, está presente en iOS 10, dijo Elcomsoft.

El investigador de seguridad por Thorsheim también examinó la falla y encontró que un algoritmo de hash de contraseñas tenía la culpa.

“Específicamente, han cambiado de PBKDF2 (SHA1) con 10 mil iteraciones al uso de un hash SHA256 con sólo una única iteración,” escribió. “El cambio es tan devastador que el uso de una CPU es casi 40 veces más rápido el uso de una GPU totalmente optimizada para la antigua versión de PBKDF2.”

Lo más preocupante acerca de esta falla es que potencialmente podría dar a los usuarios maliciosos el acceso a la información almacenada en el llavero de iCloud de un usuario. Esto podría incluir contraseñas, información de tarjeta de crédito e información de la red Wi-Fi. Por el momento, esta vulnerabilidad parece ser la única manera de acceder al llavero, donde los iPhones, iPads y iCloud son considerados demasiado seguras, dijo Elcomsoft.

Apple confirmó a Forbes que era consciente del problema y está trabajando en una solución.

“Somos conscientes de un problema que afecta el nivel de cifrado para copias de seguridad de los dispositivos de iOS 10 al realizar copias de seguridad por medio de iTunes en Mac o PC. Estamos abordando este tema en una próxima actualización de seguridad. Esto no afecta a las copias de seguridad de iCloud.”

“Recomendamos a los usuarios asegurar su Mac o PC con contraseñas seguras y que sólo se pueda acceder por usuarios autorizados. La implementación seguridad adicional también es factible con el cifrado de disco usando FileVault,” añadió Apple.

Fuente: Info Security MB
Ver información original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=3033