Home > Notícias

Especialistas “quebram” sistema de criptografia do iPhone e do iPad

Feito da ElcomSoft permite acesso aos dados de aparelhos móveis da Apple com o iOS 4; companhia já havia feito o mesmo com backups do smartphone em 2010

Macworld / Reino Unido

25/05/2011 às 12h15

Foto:

Depois de ter "crackeado" backups de um iPhone no ano passado, a empresa de segurança russa ElcomSoft afirma ter encontrado uma maneira confiável de derrotar o sistema de criptografia com camadas usado para proteger os dados armazenados no próprio smartphone.

Desde o lançamento do sistema iOS 4 em junho de 2010, a Apple tem conseguido proteger dados em aparelhos compatíveis usando um sistema de criptografia chamado Data Protection, que armazena um código de acesso do usuário em um chip interno, usando criptografia de 256 bits AES. Além disso, cada arquivo armazenado em um aparelho iOS é protegido com uma chave individual associada à Unique ID (identificação única) do aparelho.

A lista de produtos da Apple com esse tipo de segurança inclui todos os aparelhos lançados a partir de 2009, como iPhone 3GS (que pode rodar o iOS 4), o iPhone 4, o iPad 1 e o iPad 2, e os modelos mais recentes do iPod Touch.

A ElcomSoft não explicou em detalhes como invadiu o sistema chave armazenado no aparelho por "razões comerciais", mas o primeiro ponto do ataque parece ter sido o próprio código de segurança do usuário, já que todas as outras chaves ficam vulneráveis uma vez que o aparelho estiveja no modo desbloqueado.

iphone4-03_ilustra390.jpg

iPhone: "falhas sutis" na arquitetura de segurança"

A companhia afirma ter sido auxiliada por falhas sutis na arquitetura de segurança usada pela Apple, a começar pelo código de segurança padrão de 4 dígitos. Isso possibilita “apenas” 10 mil combinações numéricas, que a empresa afirma ser o modo mais usada pelos usuários para travar seus aparelhos.

A única limitação em quebrar essa senha usando um ataque de força bruta foi a necessidade de passar pelas combinações possíveis no próprio iPhone (ou outro aparelho iOS), o que levou menos de 40 minutos, muito mais do que seria necessário com um computador desktop.

Se o código de segurança fosse muito longo para esse tipo de ataque, a empresa disse que seria possível burlá-lo ao superar as chamadas “escrow keys”, que são criadas por aplicativos da Apple, como o iTunes, e armazenadas em um computador do usuário.

“Somos cidadãos responsáveis e não queremos que essa tecnologia caia em mãos erradas”, disse o CEO da ElcomSoft, Vladimir Katalov. “Por isso, tomamos uma decisão firme de limitar o acesso a essa funcionalidade para organizações legais, forenses, de inteligência e agências do governo selecionadas.”

A ElcomSoft ficou famosa recentemente por “quebrar” sistemas de criptografias usados em diferentes tecnologias, incluindo os de verificação de imagens de câmeras digitais usados pela Canon e pela Nikon, segurança wireless WPA2, assim como uma variedade de aplicações individuais.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail