Conecta con nosotros

Noticias

Apple ha debilitado adrede el cifrado de los backups en iOS 10

Publicado el

Apple ha debilitado adrede el cifrado de los backups en iOS 10

Apple ha debilitado adrede el cifrado de los backups en iOS 10

Después de su batalla contra el FBI por el caso de San Bernardino, Apple tomó la decisión de reforzar la privacidad de sus iPhones con el uso de herramientas y algoritmos que hiciesen que ni la misma compañía pudiese acceder a los dispositivos. Sin embargo, parece que la hora de la verdad se ha dado algún que otro paso hacia atrás en este apartado con iOS 10.

Según la empresa de computación forense rusa ElcomSoft, Apple ha tomado la decisión de aplicar un downgrade en el cifrado utilizado para los backups de iOS para iTunes. Si desde la versión 4 hasta la 9 de iOS se empleaba un cifrado PBKDF2 SHA-1 con 10.000 iteraciones, mientras que iOS 10 usa en su lugar SHA256 plano con una única iteración. Las contraseñas generadas por este último algoritmo pueden ser crackeadas incluso con un procesador utilizado para una computadora de escritorio corriente. Siendo más concretos, un Core i5 es más que suficiente para romper una contraseña a la que se ha aplicado el cifrado empleado por iOS 10.

PBKDF2 significa Función de Derivación de Clave Basada en Contraseña (Password-Based Key Derivation Function) y se trata de un algoritmo que utiliza SHA-1 con miles de iteraciones de contraseñas, generando así una contraseña muy difícil de crackear. La función PBKDF2 genera una clave criptográfica final utilizando 10.000 veces (iteración de contraseña) una función pseudoaleatoria que incrementa el tiempo del proceso de autenticación y reduce las posibilidades de éxito mediante un ataque de fuerza bruta.

Por su parte, el algoritmo SHA256 con una iteración empleado por iOS 10 resulta 2.500 veces más rápido de romper que el algoritmo anterior, ya que un hacker solo necesita una única contraseña y el uso de fuerza bruta para crackear las credenciales de acceso. Sin embargo, el ataque no puede ser llevado a cabo de forma remota, requiriendo tener acceso físico y directo al iPhone o al iPad.

Se sospecha que el kit forense de ElcomSoft ha podido ser usado en el caso de The Fappening o Celebgate, en el cual se expusieron fotos comprometedoras de muchos famosos en 2014 tras hackear sus cuentas de iCloud.

Fuente | The Hacker News

Lo más leído