Due mesi fa, Apple ha introdotto il processo di autenticazione a due step per rendere il nostro ID ancora più sicuro, prevedendo l’invio al proprio iPhone-iPad di un codice di verifica separato quando si tenta di ripristinare la password o di effettuare altri cambiamenti. Tale sistema potrebbe avere qualche problema di sicurezza.
Il processo di autenticazione a due step ha lo scopo di verificare se l’utente che ha chiesto il ripristino della password è effettivamente il titolare dell’account e viene utilizzato ormai da moltissimi servizi online. Apple lo ha introdotto solo da un paio di mesi e, in questo periodo, alcune società esperte in sicurezza hanno avuto moto di verificare la reale sicurezza del procedimento.
Una volta che i dati di accesso per un ID Apple con autenticazione a due fasi sono compromessi, non c’è nulla che possa fermare gli hacker dall’accedere ai dati iCloud come il backup del dispositivo.
Nella sua implementazione attuale, l’autenticazione a due step offerta da Apple non impedisce a nessuno il ripristino di un backup iOS su un nuovo dispositivo non verificato. Inoltre, tale autenticazione non si applica ai backup di iCloud, permettendo a chiunque conosca password e ID Apple di un altro utente di scaricare e accedere a tutte le informazioni memorizzate proprio su iCloud. Questa falla è facile da verificare: è sufficiente accedere al tuo account iCloud e avrete tutte le informazioni complete per ogni cosa che avete memorizzato, senza che vi sia richiesto di effettuare un’autenticazione aggiuntiva.
In pratica, conoscendo la password di un Apple ID si può facilmente recuperare un backup memorizzato su iCloud, senza imbattersi nell’autenticazione a due step che avrebbe reso molto più complesso accedere a tali dati. Non è nemmeno necessario avere a portata di mano il dispositivo fisico, in quanto tutto è memorizzato online su iCloud.
Un altro problema di sicurezza, è che Apple invia i codici di verifica a due step direttamente nella lockscreen di un dispositivo iOS, il che significa che chiunque potrebbe leggere quel PIN senza sbloccare il dispositivo. Ovviamente, in questo caso l’hacker avrebbe bisogno di un accesso fisico al dispositivo. Basterebbe, però, che Apple invii questo codice solo sulla schermata Home e non direttamente nella lockscreen. Questo tipo di approccio è possibile solo se la vittima è mirata.
Insomma, Apple ha fatto un passo avanti ma dovrebbe perfezionare il sistema per renderlo ancora più sicuro.