Oramai è risaputo che iPhone, date le sue funzioni multimediali, è un enorme contenitore di dati personali: come ogni telefono, infatti, contiene numeri telefonici, E-mail, indirizzi e qualsiasi tipo di contatto. Per l’utente domestico è diventato, grazie alla sua sincronizzazione quasi forzata col proprio computer, una “cassaforte portatile della nostra intimità“: un device del genere dovrebbe avere un elevato sistema di sicurezza. Abbiamo visto come, con tecniche da “smanettone informatico“, sia possibile ricavare i dati personali del precedente possessore da un iPhone di seconda mano, ma, è difficile da credere che sia addirittura possibile accedere alle informazioni private di qualsiasi iPhone in circolazione con un semplicissimo procedimento: come? Leggete dopo il salto.
Quello che abbiamo letto su Gizmodo.com ci ha lasciati stupefatti e abbiamo voluto testarlo immediatamente sui nostri iPhone redazionali. Purtroppo è tutto vero. Impressionante.
Partiamo dal presupposto che tutti i telefoni cellulari in circolazione, già dai primi modelli che sembravano dei “citofoni”, hanno un semplice quanto efficace sistema per impedire l’accesso ai nostri dati personali a qualsiasi malintenzionato: questo “semplice sistema”, come sapete, è il codice PIN della Sim. Senza di esso non è possibile accedere al sistema operativo di un telefono cellulare e sono solo consentite le chiamate di emergenza.
Anche in iPhone è possibile inserire un proprio codice PIN di sicurezza a quattro cifre, in modo così da garantire la sicurezza della nostra “intimità”. Anzi, in iPhone, al contrario della maggior parte dei telefoni cellulari in commercio, questo sistema funziona in maniera ancor più intelligente: ogni volta che si esce dallo stand-by è richiesto il PIN. Questo meccanismo che per sua natura può risultare opprimente per qualcuno, permette una sicurezza davvero elevata: perdendo il telefono, colui che lo ritrova è in grado di effettuare solamente le chiamate di emergenza. Forse.
Proprio qui si trova il problema. Con un procedimento molto semplice è infatti possibile passare dalla schermata della chiamata di emergenza alla vostra casella E-Mail. Non ci credete? Provate a fare quanto documentato da un prezioso video fatto dai ragazzi di Gizmodo.com: basta infatti entrare nel pannello della chiamata di emergenza e premere due volte il tasto “Home“. Apparirà a questo punto l’elenco dei numeri preferiti, da cui è possibile raggiungere la vostra casella E-Mail oppure Safari; il malintenzionato è pure in grado di spedire E-Mail e sms, fino addirittura ad accedere all’elenco dei vostri sms. Tutto questo procedimento ci ricorda da lontano il meccanismo con cui era attuato il Jailbreak dello stesso iPhone prima dell’avvento di ZiPhone e simili.
Nella rete si sprecano i consigli per ovviare a questo fastidioso problema (bug o leggerezza?) che affligge tutti gli iPhone attivati in attesa che Apple “si svegli” e faccia uscire il più presto possibile un aggiornamento firmware. Tra tutte le soluzioni lette, abbiamo deciso di proporvene due.
La prima vi consiglia, finché il problema non sarà risolto seriamente, di non mettere i vostri contatti nell’elenco dei preferiti: in questo modo il malintenzionato sarà privato della “materia di base” da cui fare partire le sue speculazioni. La seconda soluzione, che appoggiamo pienamente, prevede di cambiare la funzione predefinita del tasto “Home”: per farlo andate in “Impostazioni“, “Generali“, “Tasto Home“. Da qui selezionate l’opzione secondo la quale al doppio click del tasto “Home” corrisponda il ritorno alla schermata “Home” di iPhone: così facendo non sarà possibile uscire dalla schermata delle chiamate di emergenza con un doppio click del tasto “Home”.
Crediamo sia lecito ricordare che non esiste un sistema sicuro al 100%: ci sarà sempre qualcuno in grado di violare un sistema di sicurezza ritenuto adeguato (basti vedere il meccanismo alla base di Pwnage Tool che permette lo sblocco operatore degli iPhone 2G). Quest’ultima frase, però, non vuole giustificare un sistema di sicurezza che è “by-passabile” dal più incapace utente di iPhone.
Caro Steve, anche per la tua privacy, fai uscire presto un aggiornamento in grado di chiudere definitivamente questa falla nella sicurezza di un telefono che, idealmente, dovrebbe essere blindato.
E tu, caro iPhone, che hai il Bluetooth bloccato di fabbrica per via delle amicizie pericolose che papà Steve non approverebbe, tu che devi sottostare ai comandamenti della SDK, tu che nella maggior parte dei casi sei costretto dal tuo utilizzatore a indossare un “vestito tarocco” fatto da quei birbanti del Dev Team, non ti demoralizzare se ti hanno lasciato addirittura la porta principale socchiusa: questa volta siamo noi quelli felici di metterti il catenaccio.
[via] e [via]
Paperino 28/08/2008 il 09:20
Beh che dire?
Poco direi, se non che si capisce come mai l’odiatissimo Bill vende ancora oltre il 90% dei sistemi operativi!
Vela immaginate una banca che adotta un sistema del genere?
Se fosse la mia spero melo faccia sapere in tempo!
Detto questo spero Apple, e soprattutto i suoi idoli (non gli utenti seri che sono altra cosa) si sveglino e decidano di investire una parte, spero non trascurabile, dei recenti guadagni in assunzione di persone che lavorino sul codice, sulle compatibilita’ e sulla security e che magari aumenti di conseguenza anche la quantita’/qualita’ delle informazioni verso gli utenti riguardo ad upgrade, bugfixing et al…
Ascan 28/08/2008 il 09:35
@ Paperino:
sono d’accordo sul fatto che Apple debba investire più risorse nella sicurezza di iPhone, ma non capisco chi sarebbero gli “idoli” ai quali fai riferimento.. Mah…
Paperino 28/08/2008 il 09:47
Mi riferivo agli utenti che vedono i prodotti apple com veri e propri “idoli” da adorare e quindi al di spora della posibilita’ di essere giudicati e quindi magari criticati…
Maringleno 28/08/2008 il 10:26
Dai il titolo: “iPhone e sicurezza: prego si accomodi, la password non serve”
è molto pesante….sembra che adesso i tuo dati sono alla portata di tutti!
qst bug esiste gia dallla versione 2.0 ed è andato sempre tutto bene…
cmq basta nn avere nessun contatto fra i preferiti ed il problema svanisce!
Marcello 28/08/2008 il 10:38
Beh questa é davvero grossa… Speriamo risolvano in fretta.
@ Paperino:
Concordo anche io sul fatto che Apple debba investire maggiormente nella sicurezza (e credo che fondamentalmente sia una questione culturale, perchè fino a poco tempo fa non si pensava servisse), ma sinceramente portare ad esempio winzozz lascia perplessi… Lì si che investono davvero tanto, ma la sicurezza non mi sembra sia tra le caratteristiche migliori. Basti pensare che per la navigazione é sconsigliabile utilizzare il browser di casa Microsoft, e per la posta l’impiego di Outlook Express equivale più o meno ad un suicidio…
Emanuele L. Cavassa 28/08/2008 il 13:42
C’è da dire che se un “malintenzionato” ha il tempo di tenere in mano il mio iPhone a sufficienza per eseguire la procedura, penso che possa essere più interessato a rubarmelo, che leggermi le email o navigare in internet con il mio iPhone…