Pesquisadores obtêm senhas do iOS em menos de seis minutos

Pesquisadores alemães da Fraunhofer SIT conseguiram revelar as senhas armazenadas em um iPhone travado, em menos de seis minutos, e sem ter que “craquear” a senha do aparelho. A encriptação de 256 bits para obter as senhas armazenadas no chaveiro do dispositivo não foi quebrada; a encriptação é independente da senha pessoal, que é na verdade usada para proteger o acesso ao dispositivo. O ataque, que também funciona em iPads, está preocupando quem utiliza uma senha para travar seus dispositivos baseados no iOS.

Embora o ataque exija que o aparelho esteja em mãos, uma vez que tem como alvo o chaveiro individual, pode ainda ser particularmente problemático caso o invasor tenha roubado o iPhone, especialmente se for ligado à uma rede corporativa. As empresas deverão orientar seus funcionários (ou “colaboradores”) sobre os procedimentos emergenciais: quem tiver seu iPhone ou iPad perdido deve trocar todas as suas senhas, e a empresa deve alterar suas identificações de rede o mais rápido possível.

Os pesquisadores removeram o cartão SIM do dispositivo, usaram exploits existentes para fazer o jailbreak, instalaram um servidor SSH que permitia rodar queries, e então executaram software terceiro no aparelho para copiar um script que daria acesso ao chaveiro. Esse método pode revelar senhas do Exchange, Gmail, contas LDAP, correios de voz, VPN Wi-Fi, e outros.

Uma vez que o controle de uma conta de email é passada ao atacante, este pode capturar senhas adicionais já que vários serviços da Web simplesmente mandam um email com a senha quando você solicita que seja enviada uma nova. Qualquer dispositivo com iOS pode ser atacado desta maneira, independentemente da senha que o usuário escolhe.

Muitos acreditam que a encriptação do smartphone fornece uma segurança suficiente. Jens Heider, gerente técnico do laboratório de testes de segurança da Fraunhofer SIT, disse que “esta opinião nós encontramos até mesmo nos departamentos de segurança de empresas. Nossa demonstração prova que esta é uma suposição falsa. Fomos capazes de “craquear” dispositivos com configurações de alta segurança dentro de um prazo muito curto. Isto revela o quão bem o conceito de segurança foi adaptado para o desafio móvel.”

Postado por
Siga em:
Compartilhe
Deixe seu comentário
Veja também
Publicações Relacionadas
Localize algo no site!