Apple: sbloccare un iPhone può costare molto caro sul mercato nero

04 Luglio 2016 311

Il responsabile della sicurezza di iOS presso Apple Ivan Krstić ha recentemente rilasciato alcune dichiarazioni in merito alle vulnerabilità del software e al valore economico del mercato nero ad esso correlato.

Pur non trattandosi di “mercato nero”, è ancora sotto gli occhi di tutti la vicenda dell’omicida di San Bernardino, il cui iPhone 5c è stato sottoposto a sblocco da parte dell’FBI nonostante il muro contro muro con Apple. Secondo le ultime stime rivelate dal direttore dell’FBI James Comey, sarebbero stati pagati 1,3 milioni di dollari per effettuare tale operazione, superiori rispetto alla cifra inizialmente annunciata dalle Autorità.

Krstić ha affermato che il mercato nero – definito in gergo “zero-days” – deve subire in un certo senso i risultati conseguiti da Apple. Risulta però difficile andare a misurare la performance dei prodotti in termini di sicurezza utilizzando statistiche “dirette”, e per questo motivo Krstić preferisce utilizzare statistiche “indirette” come tra cui il prezzo che il mercato nero deve richiedere per lo sblocco di un dispositivo Apple.

“Come probabilmente molti di voi sapranno, esiste un mercato nero per le vulnerabilità del software, e di tanto in tanto alcuni dei prezzi sul mercato nero vengono resi noti”, ha affermato Krstić. “Di solito questi prezzi sono decine di migliaia di dollari, a volte anche 100 mila dollari”.

Le cifre riportate da Krstić sono relative allo sblocco di dispositivi dotati di altri sistemi operativi, come Windows o Android, in quanto l’attività di hacking su iPhone risulta essere decisamente più costosa. Come ammesso dallo stesso manager di Apple, le cifre per lo sblocco di un dispositivo di Cupertino sono solitamente comprese tra 500 mila dollari e un milione di dollari, senza dimenticare la cifra recentemente pagata dall’FBI per lo sblocco dell’iPhone della strage di San Bernardino.

“Prendetela col beneficio d’inventario, ma si tratta di un numero interessante su cui fare ragionamenti”, ha ammesso Krstić. “Ciò che vedete oggi è il risultato di un decennio del nostro miglior lavoro per la protezione dei nostri utenti”.

Nonostante l’assenza di bug conclamati negli ultimi nove anni, Apple intende creare un “bug bounty program” (ovvero una sorta di “taglia” sui bug) per incentivare gli hacker a condividere le soluzioni con la stessa Apple e non con gli hacker del mercato nero. Simili politiche sono già state attivate da altri attori, tra cui Microsoft, Facebook e Google.


311

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Saccente

Tu dici "lo ha fatto anche", ma è una tua supposizione, su cui non concordo.

Joel (TLoU)

Non mi risulta che non funzionino ma dipende sicuramente da Microsoft come successo con Google che per spingere la propria applicazione ha creato dei malfunzionamenti sul client di iOS.

petronio arbitro

cmq apple deve darsi una regolata con mail, sai dirmi perchè ora gli account microsoft improvvisamente non funzionano più? magari dipende da microsoft, tanto per regolarsi.

Joel (TLoU)

Potrei farti molti esempi, ma te ne farò uno particolarmente recente. La privacy non esisteva nell'epoca dei regimi totalitari. Chi è morto per liberarci dal fascismo lo ha fatto anche per farci vivere nella libertà di poter scegliere cosa tenere per noi e cosa far sapere agli altri individui.

Saccente

Io sono molto attento ai fatti accaduti nei precedenti 6 mila anni. Però a memoria non ricordo di martiri per la privacy, per cui rinnovo la domanda.

Gherardo Crocitti

Beh, leggendo i forum si capisce che c'è tanta gente che ha provato sia l'uno sia l'altro. Chi prova iPhone spesso, passando ad android, compra un top di gamma. Ho detto 700 euro come valore commerciale all'uscita, poi chiaro, molti l'iPhone lo prendono a rate da 30 euro come chi prenun android... c'è gente che ne compra tre o quattro, di top gamma, e poi sceglie quale tenersi . Non credo vadano a risparmio.

Joel (TLoU)

Prendi un libro di storia e dai uno sguardo ai fatti che si sono verificati su questo pianeta nei precedenti secoli.

Joel (TLoU)

Decisamente. Non c'è un singolo punto a sfavore.

M3r71n0

No. E' colpa della libertà di espressione!

Saccente

Non solo: Su Google Play sono presenti costantemente qualche decina di app con malware, questa è la dichiarazione ufficiale di Google. Saranno anche poche, ma sono sempre presenti e sempre diverse.

Saccente

Assolutamente falso.

Saccente

In molti spendono 700 euro due volte per un iPhone e un Android??

Saccente

"eludendo di fatto la crittografia" è una frase che si presta a fraintendimenti. Spiegati meglio.

Saccente

Io sono un paladino dei fatti

Allora sarai contento della proposta di legge per liberalizzare le droghe leggere :-)

Saccente

Chi è che sarebbe morto per il diritto alla privacy? Sai, io non ho la TV e quindi non vedo i telegiornali.

Saccente

O ai fatti.

Saccente

Quindi è colpa di Google.

Saccente

Hai scritto proprio questo.

Saccente
(nel senso che gli hacker giustamente tendono a spennare i facoltosi utenti che si rivolgono a loro)

Primo, "loro" non sono gli hacker, ma delle organizzazioni per le quali gli hacker lavorano. Secondo, i "facoltosi" disposti a spendere non sono gli utenti, ma i criminali che vogliono colpire tali utenti. Quindi il discorso sul prestigio del marchio di Cupertino c'entra come i cavoli a merenda. Riguardo i soldi dei contribuenti, è l'FBI che ha deciso di sperperarli inutilmente, dopo aver fatto il danno.

giot

Non è quello che hai detto, tu hai detto che il disco è crittografato con una chiave fissa contenuta nell'hardware e che basta estrarla per decrittografare il disco mentre con un sistema che usa una passwod dell'utente è necessario un bruteforce praticamente irrealizzabile (se la password è robusta).

Ma ti ho spiegato che il disco è criptato con una chiave, la chiave è scritta sul primo settore del disco in forma crittografata con un'altra chiave che è generata a partire dalla password dell'utente e da un codice presente in un chip nel telefono. Nell'hardware sono contenute due chiavi: quella in forma crittografata presente sul disco e quella contenuta nel chip. Se estrai la prima, non te ne fai nulla perchè per decriptarla servono quella contenuta nel chip e la password dell'utente. Se estrai anche la seconda, non è sufficiente per decriptare la prima, serve anche la password dell'utente. Quindi non basta estrarre la(e) chiave(i) contenuta(e) nel'harldware delll'iPhone per decriptare il disco, è necessario un bruteforce praticamente irrealizzabile (se la password è robusta).

Francesco

è quello che dicevo io, e ti sei contraddetto. La pass del blocco schermo non influisce sulla crittografia, la cui chiave è quella salvata in hardware e fissa, perlappunto

ste2

Ti sei spiegato meglio, ed il discorso fila

Tecnono

Di sicuro quel 1 per cento della popolazione mondiale che detiene la maggior ricchezza rispetto al restante 99 per cento se ha uno smartphone ha quasi certamente un iPhone(che resta tra i migliori smartphone in commercio) ed un hacker se vuole raggiungere un dato/informazione che porta ad un cospicuo guadagnano deve hackerare questo tipo di smartphone a queste persone come target. Poi anche noi comuni mortali possiamo possedere un smartphone Apple ma i nostri dati/informazioni rimangono certamente meno pregiate a livello di mercato x i criminali. Intendevo questo non so se mi sono spiegato un filo meglio.....

Tecnono

Di sicuro quel 1 per cento della popolazione mondiale che detiene la maggior ricchezza rispetto al restante 99 per cento se ha uno smartphone ha quasi certamente un iPhone(che resta tra i migliori smartphone in commercio) ed un hacker se vuole raggiungere un dato/informazione che porta ad un cospicuo guadagnano deve hackerare questo tipo di smartphone a queste persone come target. Poi anche noi comuni mortali possiamo possedere un smartphone Apple ma i nostri dati/informazioni rimangono certamente meno pregiate a livello di mercato x i criminali. Intendevo questo non so se mi sono spiegato un filo meglio...

giot

Non deve decrittografare tutto se attivi/disattivi il blocca schermo o se cambi la password, perchè la chiave di cui sopra non è usata direttamente per crittografare il disco, ma per crittografare un'altra chiave che viene utilizzata per crittografare il disco. Quando cambi password l'unica cosa che deve decrittografare è la chiave usata per crittografare il disco per poterla recrittografarla con la nuova password e per fare questo ci vuole solo qualche istante.

Davide

si parla di vulnerabilità software e questo va a parlare dello sbloccare gli iphone? Ma questo è un p1rla! Sono molto più profittevoli e diffuse le altre vulnerabilità

Mario L

Aspetta, ho appena visto questo, big deal

Mario L

Che branco di idioti, un cane che si morde la coda mostra più intelligenza.

KenZen

Da quello che hai scritto invece si capisce proprio questo.
Saluti

momentarybliss

sei tu che hai capito male, non ho assolutamente scritto che sono gli utenti apple a rivolgersi agli hacker né che sono tutti facoltosi

takaya todoroki

24 per partorire questa miccetta?
Puoi fare decisamente meglio...

PirupalV

Hai capito l'opposto, uso iPhone proprio perché non è sblocca bile.

Francesco

veramente è la soluzione più semplice di tutte, ma se per esempio hai riavviato il dispositivo senza immettere la password non è praticabile, idem se è stato spento per qualche tempo

Francesco

non è così, altrimenti se disattivi il blocca schermo dovrebbe prendersi il tempo per decrittografare tutto, idem quando lo metti o cambi password. Senza contare che si parla di un pin di 6 cifre, quindi crackabile in 0 time

Davide

Puoi avere la password che meglio credi ma nelle mani giuste il problema non si pone.

EmEr

Ma che scherzi? Ho appena creato un nuovo cellulare: ti assicuro che se vuoi provare a sbloccarlo a meno di 100000000000000 dollari non trovi niente! Te lo assicuro io!

Gatto

La difficoltà di bypassare un qualsiasi sistema di sicurezza invece è tutto.

Quando compri un antifurto non ti chiedi se potrà essere rotto ma quanto tempo ci potrà mettere il ladro a romperlo.

Fermo restando che con una password come si deve un iPhone è inviolabile fino a prova contraria.
Non dimentichiamo che l'FBI ha speso quella cifra per superare un pin a 4 cifre...

CAIO MARI

Eccolo l'ultimo LOL

H

ma se è stato sbloccato eludendo di fatto la crittografia, sicurezza di sta cippa ! ma poi secondo voi cè realmente ce chi rosica per ste cavolate ahahah i melamalati

N#R#S©

Gli android invece li sblocchi con cifre record che vanno dai 4 agli 8 euro.....ahah

Gatto

Quello che c'è riuscito lo fa di mestiere, Apple no. Non è una società di hacking.

Del resto è stata chiara: non è in grado di entrare in un iPhone bloccato perché non ci sono backdoor e quindi l'unica cosa da fare è cercar fortuna da chi queste cose le fa di mestiere.

Se tu compri una cassaforte da un'azienda (che non ha un passpartout) e perdi la chiave è inutile che le chiedi di forzarla, non è il suo mestiere, ma ti rivolgi direttamente ad un fabbro che è il suo lavoro.

H

il fatto che sia sbloccabile e di conseguenza poco sicuro ti fà restare ahahah

ioRobot

che poi la fonte dell'FBI che scrive quanto ha speso in un comunicato non esiste, esistono solo sparate di giornalisti, quindi mi sà propio che siano paIIe messe in giro dall'ufficio stampa apple

root

No no FBI ha chiesto una cosa specifica, vai a leggerti il documento rilasciato, ha chiesto ad Apple di fornirgli un aggiornamento software firmato con la loro chiave e quindi installabile a piacimento in tutti gli iPhone in grado di poter aggirare l'inserimento del PIN... Apple ha collaborato dove ha potuto, per esempio fornendogli i dati di iCloud, e guarda caso l'FBI ops ha appositamente cambiato la password di iCloud per far si che l'iPhone non facesse il backup automatico degli ultimi dati (chissà perché eh) in modo da recuperarli agevolmente tutti da li, al che Apple ovviamente alla richiesta della backdoor gli ha detto, ora vi arrangiate, quello che potevo darvi ve l'ho dato

dan

Se volete vi sblocco il mio per 20 euro

Droid

che poi la fonte dell'FBI che scrive quanto ha speso in un comunicato non esiste, esistono solo sparate di giornalisti, quindi mi sà propio che siano paIIe messe in giro dall'ufficio stampa apple

Aster

a ok non avevo visto il "se"ho controllato sul tablet e non era attivata

fabrynet

Che bello parlare con ingegneri informatici che si occupano della sicurezza su Android

H

è un controsenso vantarsi di uno smartphone che si può sbloccare eludendo di fatto la crittografia, quindi ha un grosso problema di sicurezza !

M3r71n0

Fatto sta che:
1) non c'è peggior sordo di chi non vuol sentire;
2) a parlare a priori... è facile.

certo la questione è semplice.

eggià, si vede sotto come approvi tramite upvote commenti assolutamente "ign0ranti".

Io mollo. Il mio l'ho detto. Saluti.

iPad Pro 2020 ufficiale: trackpad, tastiera retroilluminata e sensore LiDAR | Video

WhatsApp, il tema nero è ufficiale: disponibile su iOS, Android e Business

Recensione iPhone 11 Pro Smart Battery Case: è il migliore, ma che prezzo!

Apple annuncia il nuovo MacBook Pro 16 | Video