Il sistema di autenticazione ID di Apple fallisce: utenti di iPhone a rischio di furto e frode

Redazione RHC : 27 Febbraio 2023 12:31

Il Wall Street Journal ha recentemente riportato di un incidente avvenuto alla fine dello scorso anno negli Stati Uniti. Un aggressore sconosciuto per strada ha strappato un iPhone 13 Pro Max a una donna e dopo un paio di istanti ha avuto pieno accesso al suo account con tutte le foto, i contatti, le note, ecc. 

In qualche modo, l’autore è stato in grado di modificare l’autorizzazione relativa all’ID Apple della vittima in pochi minuti, senza conoscere altre informazioni oltre al codice PIN del dispositivo. Inoltre, durante la giornata, dal conto in banca della donna sono scomparsi circa 10mila dollari.

Storie simili si accumulano da tempo nelle stazioni di polizia di tutto il mondo. 

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Allo stesso tempo, il modo in cui gli aggressori ottengono pieno accesso agli account delle loro vittime colpisce per la sua semplicità e banalità.

Non tutti gli utenti di iPhone hanno configurato l’autenticazione Face ID, e anche così, in condizioni post-pandemia in molti paesi, le persone indossano ancora mascherine mediche nei luoghi pubblici, il che impedisce a questa tecnologia di funzionare correttamente. 

In generale, ci sono abbastanza modi per scoprire il codice pin di un’altra persona.

In un modo o nell’altro, solo il codice pin che il proprietario dell’iPhone inserisce quando sblocca lo schermo è assolutamente sufficiente per cambiare la password dall’account ID Apple della vittima senza dati aggiuntivi. 

Non è nemmeno necessario inserire la vecchia password prima di impostare quella nuova.

I rappresentanti Apple hanno affermato che un tale sistema è progettato per aiutare gli utenti che hanno dimenticato la password del proprio account. E che il sistema è abbastanza sicuro, perché per cambiare la password sono necessari due fattori: la presenza del dispositivo a portata di mano, così come il suo codice di accesso. 

Ma a quanto pare, questo non è affatto sufficiente.

Dopo aver modificato la password, il software richiede di forzare la disconnessione da questo account su altri dispositivi Apple. Pertanto, una potenziale vittima non sarà più in grado di utilizzare questi dispositivi per ripristinare l’accesso. Allo stesso modo, un criminale può scollegare il numero di telefono del proprietario dall’account.

Con una nuova password, un ladro può facilmente disattivare la funzione Trova il mio telefono, che altrimenti consentirebbe alle vittime di trovare i propri smartphone e persino di bloccarli da remoto per proteggere i propri dati. 

La disattivazione della funzione “Individua” consente anche ad un utente malintenzionato di vendere un iPhone rubato senza problemi.

Apple è da tempo a conoscenza del problema, ma non fa nulla al riguardo, credendo ancora che un tale sistema sia abbastanza sicuro per l’uso quotidiano. Di seguito abbiamo compilato alcune linee guida pubblicamente disponibili per aiutarti a evitare questo tipo di truffa:

• Usa un passcode più sicuro. Almeno 6 cifre univoche per un pin standard o una password alfanumerica complessa. Anche se un utente malintenzionato ha il tempo di spiare un tale codice di accesso, potrebbe semplicemente non ricordarlo e non sarà in grado di accedere all’account.
• Usa Face ID o Touch ID per impedire ai criminali di spiare il codice di accesso in luoghi pubblici.
• Usa gestori di password esterni invece dell’iPhone integrato.
• Non archiviare foto personali sensibili, dati e così via in iCloud.

In ogni caso, il successo di tali frodi dipende principalmente non dalle vulnerabilità del software di un particolare prodotto, ma dalla consapevolezza e dal comportamento della vittima.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli