Hotspot di iOS: password poco sicure

La password degli hotspot di iOS potrebbero essere poco sicure. È quanto rivela una ricerca condotta dall’Università di Erlangen in Germania, con la dimostrazione della fragilità delle credenziali di default impostate da Apple per sfruttare il servizio.

La modalità hotspot permette di condividere la propria connessione 3G con altri dispositivi avvalendosi della tecnologia WiFi. Per attivare il servizio, l’utente deve impostare un punto d’accesso – l’hotspot – generando una password a propria scelta oppure utilizzando una tra le tante proposte automaticamente dalla funzione. Quest’ultima opzione sarebbe poco sicura.

Avvalendosi di un cluster formato da quatto GPU AMD Radeon HD 7970, infatti, i ricercatori tedeschi sono riusciti a scoprire la password in circa 50 secondi. Conquistato l’handshake con il network wireless, in altre parole, sarebbe un gioco da ragazzi sfruttare indebitamente la connessione altrui. La motivazione? Apple userebbe un set limitato di parole per generare le proprie chiavi casuali.

La Mela si avvarrebbe infatti del database di oltre 52.000 di una lista opensource usata per Scrabble online – lo scarabeo. Ma non è tutto: di queste 52.000 parole, Apple ne utilizzerebbe solo una parte ristretta: 1.842. Così spiegano gli esperti:

«La lista consiste in 52.500 dati, originati da una versione online e opensource di Scrabble. Utilizzando questa lista ufficiale di parole dello scarabeo all’interno di attacchi offline, abbiamo raggiunto un tasso del 100% di successo nel craccare qualsiasi password iOS arbitraria di default. […] Inoltre, solo 1.842 parole di quel dizionario sono state effettivamente prese in considerazione, qualsiasi password di default per gli hotspot iOS si baa su una di queste 1.842 parole»

Data la poca affidabilità del sistema automatico targato mela morsicata, gli esperti tedeschi consigliano di impostare delle password manuali, prestando cura alla loro lunghezza: più una parola è lunga, infatti, minori sono le possibilità di scoprirla. Inoltre, con le tecnologie di caching attuale e il pairing automatico dei dispositivi, non vi è ragione per utilizzare termini di facile memorizzazione. Generata per la prima volta la connessione, tutti i dispositivi ricorderanno automaticamente le loro credenziali d’accesso finché il network non verrà modificato, liberando l’utente dall’onere di ricordarsi la password. In definitiva, chi non vuole imbattersi nello sfruttamento indebito della propria rete – con tutti i problemi che ne conseguono non solo in sicurezza, ma anche in credito dati azzerato – è meglio che non si fidi troppo delle impostazioni di default di Cupertino.