Last Updated on February 13, 2011

Poteva, questo scorcio di 2011 regalarci (in)soddisfazioni di sicurezza informatica solo per il povero Androide? Niente affatto! Ed ecco che dalla Germania, in particolare dal Fraunhofer Institute for Secure Information Technology (SIT), arriva una interessante analisi sul livello di sicurezza del KeyChain Apple, ovvero l’architettura usata dai sistemi operativi di Casa Apple per la gestione dei dati personali (password, etc.). I risultati non sono certo esaltanti poiché gli autori dell’articolo, in 6 minuti, sono stati in grado di decifrare completamente il contenuto del KeyChain, da un gioiello di Casa Apple (iPhone 4 ed iPad), simulando le stesse condizioni al contorno di un furto (quindi dispositivo non Jailbreakato, cifrato con una password complessa, con la funzione di Data Protection attiva e con le attività di hack che sono state effettuate da un PC che non si era mai sincronizzato con il dispositivo).

L’amara considerazione è che quando un dispositivo iOS (la prova è stata effettuata con la versione 4.2.1) in cui è attiva la funzione di cifratura Hardware viene smarrito o rubato, l’utente è avvolto da una ingannevole sensazione di sicurezza. Sensazione familiare  di chi crede che non vi sia modo per il malintenzionato di accedere ai dati contenuti (perlomeno in presenza di una password complessa a protezione dei segreti). L’algoritmo AES256 che sottende al processo di cifratura sarebbe, in teoria, una solida garanzia. Peccato, purtroppo, che la chiave di cifratura del dispositivo non dipenda dalla complessità della password impostata dall’utente, ma è autoconsistente, ovvero tutte le informazioni per la sua creazione dipendono da porzioni di informazioni contenute all’interno del dispositivo e di conseguenza sono virtualmente in possesso di un eventuale malintenzionato che abbia illecitamente messo i propri artigli sull’apparato.

Questa caratteristica dei gioielli di Steve Jobs era già nota ed utilizzata, senza eccessivo sforzo, per decifrare porzioni del file system. La novità di questo 2011 consiste nel fatto che la stessa tecnica può essere utilizzata per ottenere le password contenute nel KeyChain. Nell’attuale versione dell’iOS Cuore di Mela (4.2.1), il keychain contiene, cifrate, informazioni quali: password utente di tutti i tipi e per tutti i gusti (email, groupware, VPN, WiFi, siti Web), ma anche password e certificati utilizzati in applicazioni di terze parti.

I passi effettuati per sbucciare la Mela sono tutto sommato relativamente semplici, a patto di conoscere il coltello lo script utilizzato per estrarre i dati che i ricercatori non hanno comunque rivelato, e si possono riassumere in:

1. Ottenere l’accesso al file system;
2. Copiare lo script di accesso al KeyChain nel file system;
3. Eseguire lo script che rivela le account contenute e le relative password.

Banalmente il primo passo è necessario per accedere al keychain e può essere generalmente ottenuto jailbreakando il dispositivo ed installando un serverino SSH sullo stesso, facendo attenzione a non sovrascrivere i dati utente. Dopo il jailbreak una qualsiasi applicazione è in grado di accedere a tutti i file, incluso il keychain. Naturalmente il database delle credenziali è cifrato con la chiave del dispositivo, che non può essere estratta, ma che può essere utilizzata da altre applicazioni per rivelare i segreti contenuti sotto la buccia scocca del dispositivo.

Il passo successivo richiede l’iniezione di uno script di accesso al keychain mediante la connessione SSH appena stabilità. Lo script  non necessita di effettuare il reverse engineering del meccanismo di cifratura in quanto utilizza le funzioni di sistema per accedere alle informazioni del keychain.

Infine, la degna conclusione, nel terzo e ultimo passo viene eseguito lo script che stampa a video (ovvero esegue l’output su shell) le account.

Il tutto in soli 6 (sei) minuti, senza necessità di conoscere la password di decifratura del dispositivo. Un tempo che è comunque mediamente inferiore all’intervallo in cui l’utente medio realizza lo smarrimento o il furto del dispositivo, un tempo entro il quale l’utente malintenzionato potrebbe già essere entrato all’interno della posta elettronica della malcapitata vittima. E questo a prescindere dal fatto che l’utente possa o meno attuare la procedura di swipe remoto del dispositivo (un attaccante abile e soprattutto rivolto al risultato avrebbe già spento il dispositivo e cambiato la SIM).

Resta la (magra) consolazione che le password di alcuni servizi (ad esempio le password di siti Web) non vengono rivelate con questo tipo di attacco, pur venendo mostrate su schermo sono comunque marcate come protected e sono disponibili allo script solo dopo aver inserito la password di sblocco del dispositivo (quindi fuori scopo per lo scenario di attacco simulato). D’altro canto l’accesso alle credenziali del KeyChain è vittima conseguenza dell’usuale compromesso tra sicurezza e necessità di garantire una esperienza utente immediata: la password per i servizi di rete deve essere da subito disponibile senza necessità di intervento da parte per l’utente, per cui per avere accesso alla stessa è sufficiente avere accesso al file system.

Non c’è che dire… Un grattacapo in più per gli IT Manager che vedono ancora una volta funestate le proprie velleità professionali dall’accoppiata: smartphone/tablet->data leackage, grattacapo che getta nuova ombra sul fatto che questi gioielli siano effettivamente adatti per un uso di tipo enterprise. Lo scenario è ancora più complicato per i Tablet che in questo momento stanno trovando terreno fertile tra i livelli medio-alti che tipicamente sono meno sensibili ai problemi di sicurezza e soprattutto hanno una allergia cronica per l’inserimento di password.

A questo punto chi ha 6 minuti di tempo può scegliere di fare due cose: guardarsi il video sottostante che mostra la procedura (ma lo script di accesso non è stato rivelato), oppure correre al negozio sotto casa e comprarsi un Androide nuovo fiammante (ma non fatevi troppe illusioni perché gli autori dell’exploit sostengono che la diffusione verso altri terminali è solo questione di tempo).

[youtube=http://www.youtube.com/watch?v=uVGiNAs-QbY]