FBI, una falla per accedere a iPhone 5C

Indiscrezioni individuano in una vulnerabilità la chiave di accesso al terminale al centro del caso californiano tra Apple e l'FBI. Sarebbe stata acquistata da ricercatori grey hat e potrebbe non essere rivelata a Cupertino

Roma – Il caso è ormai chiuso , l’FBI non ha richiesto ad Apple collaborazione per accedere all’iPhone 5C del killer di San Bernardino per indagare sulle sue connessioni con il terrorismo organizzato, ma si è affidata al supporto di terzi. Non sono certo archiviate, però, polemiche e speculazioni riguardo alle soluzioni tecniche con cui le autorità avrebbero agito per i loro scopi: il Washington Post , ora, suggerisce che l’FBI abbia pagato “hacker professionisti” per ottenere informazioni su una falla da sfruttare.

Il quotidiano statunitense smentisce dunque l’ ipotesi Cellebrite, suggerita da un contratto da 15mila dollari stipulato tra l’FBI e l’azienda israeliana, e colloca i collaboratori del Bureau fra gli “hacker grey hat” descritti come “ricercatori che vendono vulnerabilità”. Non meglio precisati individui avrebbero scoperto una falla zero day capace di rendere superflua la collaborazione di Apple, a cui si chiedeva di sviluppare del codice per agevolare le forze dell’ordine nell’attacco brute force per accedere all’iPhone 5C, inserendo PIN dopo PIN senza rallentamenti e senza temere la cancellazione dei dati prevista da Cupertino proprio per prevenire questo tipo di tentativi di accesso.

La soluzione tecnica individuata si compone della vulnerabilità in combinazione con hardware ad hoc sviluppato per forzare l’inserimento dei codici di sblocco. Le autorità non hanno ancora stabilito se rivelare a Cupertino le modalità dell’accesso, e con queste la falla che affligge parte dei terminali in circolazione. Apple, dal canto suo, ha rinunciato a ricorrere alla giustizia per ottenere trasparenza.

In ogni caso, come già dichiarato da James B. Comey, a capo dell’FBI, la soluzione del Bureau sarebbe valida solo “per una minima percentuale di terminali”, vale a dire iPhone 5C equipaggiati con iOS9, ma non i modelli successivi dotati di TouchID: a dimostrarlo, il fatto che l’ altro caso aperto nei confronti di Apple, per ottenere collaborazione nell’accesso ai dati di un iPhone 5S, sia tuttora in corso nonostante le autorità abbiano assicurato reciproca collaborazione nel condividere informazioni capaci di agevolare le indagini.

Mentre le indiscrezioni si affastellano e le polemiche non accennano a placarsi, Comey dichiara il proprio sollievo per la chiusura del contenzioso californiano, che avrebbe stuzzicato un aspetto “emotivo” intorno alla questione, ritenuto “non produttivo”. Eppure, data anche la quantità di casi analoghi a quello californiano, c’è chi sospetta che l’impatto mediatico e sulla società civile fosse ampiamente calcolato.

Gaia Bottà

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • umby scrive:
    Ma, se...
    ..non installo quel software, posso usare tutti i cavi come faccio adesso?Mi par di capire:1-Collego il cavo2-il software vede un cavo inserito3-il software si connette al chip del cavo4-il software legge la chiave criptata a 128 bit5-il software si abilita al trasferimento dati o alimentazione dispositivoQuindi se _non_ installo il software, uso i cavi come adesso?Mi sembra di sentire un eco: BMG BMG BMG..1bis-se il chip del cavo non vede la chiave del software, ciccia!Mmmmmh. Non credo.
  • Skywalker scrive:
    Non ho capito
    "Le comunicazioni sulla sicurezza di un dispositivo USB sono cifrate (tramite algoritmo a 128-bit)".Vuol dire che USB-C autentica host e client criptando le comunicazioni sullo stile di HDCP su HDMI?A che pro?Di norma un cavo USB sta tutto nella stessa stanza, e se uno ha accesso fisico al cavo, ha probabilmente accesso fisico anche ai dispositivi...
    • bubba scrive:
      Re: Non ho capito
      - Scritto da: Skywalker
      "Le comunicazioni sulla sicurezza di un
      dispositivo USB sono cifrate (tramite algoritmo a
      128-bit)".

      Vuol dire che USB-C autentica host e client
      criptando le comunicazioni sullo stile di HDCP su
      HDMI?

      A che pro?per rendere piu' faticoso l'uso di usbsnooper /analyzer & co e rallentare il reversing di driver merdosi per Win/mac/antani. Almeno credo :P :)
  • killer di leggende scrive:
    Sento puzza
    Solo a me questa cosa puzza per spingerti a farti comprare il cavo originale ad un prezzo assurdo?
    • ... scrive:
      Re: Sento puzza
      - Scritto da: killer di leggende
      Solo a me questa cosa puzza per spingerti a farti
      comprare il cavo originale ad un prezzo
      assurdo?effetivamente l'odore di merda e' cosi' forte che non si respira, mi lacrimano gli occhi talmente c'e' puzza.
    • Reporter scrive:
      Re: Sento puzza
      - Scritto da: killer di leggende
      Solo a me questa cosa puzza per spingerti a farti
      comprare il cavo originale ad un prezzo
      assurdo?Anche io sento puzza di 123 in questo post ...Che vogliamo fare?
    • Jack scrive:
      Re: Sento puzza
      - Scritto da: killer di leggende
      Solo a me questa cosa puzza per spingerti a farti
      comprare il cavo originale ad un prezzo assurdo?Figurati che appena ho letto l'inizio ho sentito puzza di lighting, il connettore apple, con una aggravante: da apple posso starci lontano se sono infastidito dal chip inserito nel cavo, mentre dall'usb non posso staccarmi perché tutti i produttori seguiranno lo standard......
  • MementoMori scrive:
    quindi come funziona?
    [quote]Le comunicazioni sulla sicurezza di un dispositivo USB sono cifrate (tramite algoritmo a 128-bit) e sono pensate per essere gestite immediatamente dopo il collegamento al sistema, prima ancora che inizi il trasferimento di dati o di corrente elettrica.quindi come funziona senza energia elettrica? gliele urla?
    • ... scrive:
      Re: quindi come funziona?
      - Scritto da: MementoMori
      [quote]
      Le comunicazioni sulla sicurezza di un
      dispositivo USB sono cifrate (tramite algoritmo a
      128-bit) e sono pensate per essere gestite
      immediatamente dopo il collegamento al sistema,
      prima ancora che inizi il trasferimento di dati o
      di corrente
      elettrica.

      quindi come funziona senza energia elettrica?
      gliele
      urla?e' un articolo di maruccia: che altro dire?
    • Skywalker scrive:
      Re: quindi come funziona?
      Leggendo su Wikipedia, si evince che USB-C può erogare diversi amperaggi di corrente, in funzione delle caratteristiche del cavo. Probabilmente va letto come:" prima ancora che inizi il trasferimento di dati o di corrente elettrica ad amperaggi superiori al minimo"
Chiudi i commenti