Novità e trend
Checkm8: scoperta una nuova vulnerabilità negli iPhone - Apple è impotente
di Livia Gamper
La nuova funzione «Find my...» di Apple è a dir poco geniale
24.10.2019
Traduzione: Alessandra Ruggieri De Micheli
Con iOS 13 e il nuovo MacOS, i dispositivi Apple diventano ancora meno interessanti per i ladri. Grazie al al crowd-tracking, ora puoi localizzare e bloccare a distanza il tuo iPhone, iPad o Mac smarrito.
La funzione per localizzare o bloccare i dispositivi smarriti/rubati e cancellarne il contenuto di dati esiste già da qualche tempo, sia per Apple che per Android. Ma con iOS 13 e MacOS Catalina 10.15, Apple è riuscita rendere questa funzionalità ancora più brillante.
Premessa: il Blocco di attivazione non è da confondersi con il blocco del codice, che spero tu abbia impostato.
Il problema è che solo i dispositivi protetti con un codice di blocco possono essere ripristinati alle impostazioni di fabbrica mediante ripristino, il che comporta la cancellazione di tutti i dati. È vero che in questo modo le tue informazioni private non cadranno nelle mani sbagliate – ma è anche vero che tu non avrai più modo di ritrovare il il tuo smartphone, tablet o notebook.
Il Blocco di attivazione, invece, blocca completamente il dispositivo. Se quest’ultimo è collegato a iCloud tramite la funzione «Find my», non può essere ripristinato alle impostazioni di fabbrica. Puoi sbloccarlo solo tu, inserendo il tuo Apple ID e la tua password.
E seppur esistano innumerevoli siti web, strumenti e video di YouTube che spiegano come rimuovere il Blocco di attivazione, per le attuali versioni del sistema operativo questo non sarà possibile. E un dispositivo bloccato è una cosa inutile per un ladro.
Cosa cambia rispetto a prima?
Il punto è che con iOS 13 e Macos 10.15, per trovare un iPhone, iPad, Apple Watch o un Mac scomparso o bloccarlo mediante il Blocco di attivazione vengono utilizzati i dispositivi di altri utenti Apple.
Ciò avviene anche quando il dispositivo non è collegato alla rete cellulare o WiFi. Per questa funzione Apple utilizza piccoli pacchetti di dati («Payload») che vengono inviati via Bluetooth in caso di richiesta di connessione. Ecco la presentazione al WWDC 2019 (a partire da 1:51:25).
Significa che se lasci il tuo iPhone in un bar o se ti viene rubato il Macbook in aeroporto, puoi sfruttare i dati degli utenti Apple lì presenti come complici. Ma per farlo, devi essere proprietario di almeno due dispositivi Apple e devi aver attivato «Find my» su entrambi i dispositivi.
Ecco come funziona:
- I tuoi dispositivi generano localmente una chiave privata e una pubblica. I dati della chiave pubblica possono essere criptati da chiunque, ma solo tu puoi decriptarli mediante la tua chiave privata.
- La chiave pubblica è in continua evoluzione ed è valida solo per un breve periodo di tempo. Così nessuno sarà in grado di indentificarti con la tua chiave pubblica.
- Il tuo iPhone o Mac invia regolarmente un segnale via Bluetooth che viene rilevato da altri dispositivi Apple.
- I dispositivi degli altri utenti sanno dove si trovano e codificano queste informazioni con la tua chiave pubblica che hanno appena rilevato.
- Inviano dunque ad Apple le informazioni di localizzazione criptate che sono visibili solo a te, insieme all’«impronta digitale» (hash) della tua chiave pubblica. Apple sa dunque quale dispositivo sta inviando le informazioni – ma non sa a chi esso appartiene. Sa solo quali hash sono vicini al tuo dispositivo in un determinato momento.
- Mediante il tuo secondo dispositivo Apple, che utilizza la stessa chiave privata, contrassegni il tuo dispositivo iOS o Mac come smarrito (dov'è?) o rubato (blocco!).
- Il secondo dispositivo invia l'impronta digitale corrispondente (hash) ad Apple, che cerca nei suoi database per milioni e milioni di hash attivi nelle vicinanze.
- Apple usa gli hash per inviare il segnale desiderato ai dispositivi nelle prossimità che a loro volta inoltrano il comando al tuo dispositivo.
L'unica possibilità immaginabile per il ladro tecnicamente esperto è che effettui un jailbreak onnipotente. Ma l'exploit recentemente rilasciato per dispositivi iOS checkm8 non aiuta il truffatore: questo bug richiede l'accesso locale a un Mac di cui il tuo iPhone già si fida.
Se hai ideato tu stesso tutte le tue password o acquistato legalmente un dispositivo usato, allora esiste una via ufficiale: Apple è in possesso di una chiave master per tutti i dispositivi e può sbloccare i dispositivi bloccati tramite il Blocco di attivazione. Ti basta fissare un appuntamento all'Apple shop presentando la prova d'acquisto, altrimenti non ci sarà modo di ottenere lo sblocco.
È davvero furba questa Apple. Ti sta bene, brutto ladro che non sei altro!
A proposito: non è stata Apple ad inventare questa funzionalità. Esistono già diversi localizzatori Bluetooth con funzione community. I Tile tracker ad esempio, che abbiamo in assortimento.
Aurel Stevens
Chief Editor
aurel.stevens@digitecgalaxus.chSono il guru del team dei redattori. Scribacchino 5 giorni su 7 e papà 24 ore su 24. Mi interesso di tecnologia, computer e HiFi. Mi sposto sempre in bicicletta, in qualsiasi condizione meteo e, solitamente, sono di buon umore.
Smartphone
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
41 commenti
later