![\"hackerare](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2013\/07\/06003946\/hackerare-hotspot.png\")
<\/a><\/p>\nA quanto pare, l\u2019iOS di Apple<\/a> genera delle password piuttosto deboli (di lunghezza compresa tra i quattro e i sei caratteri): si tratta di parole che l\u2019utente pu\u00f2 ricordare senza difficolt\u00e0, a cui segue un numero di quattro cifre (ma ci\u00f2 non implica che la password sia pi\u00f9 complessa). Gli hacker possono craccare facilmente questo sistema di autenticazione (e lo faranno, statene certi<\/a>), come dimostrato dai ricercatori Andreas Kurtz, Felix Freiling e Daniel Metz che sono riusciti a dirottare, mediante attacchi di forza bruta, sessioni Internet in tathering di iOS (versione 6 e successive) in meno di un minuto.<\/p>\n Un attacco di forza bruta, in un contesto del genere, si verifica quando un hacker (o un ricercatore in questo caso) utilizza uno software per decifrare una password, grazie al quale\u00a0 inserisce, mediante un grandissimo numero di tentativi, tutte le parole del dizionario che rientrano nel numero dei caratteri indicato (per quanto riguarda la ricerca dell\u2019Universit\u00e0 di Norimberga si parla di un vocabolario di lingua inglese).<\/p>\n Gli attacchi di forza bruta di questo tipo sono piuttosto efficaci in generale, anche se richiedono un grande dispendio di tempo e risorse. Inoltre, tra i tentativi sono compresi variazioni di pronuncia, sostituzioni di lettere con numeri, gruppi di parole, o persino password gi\u00e0 utilizzate e decifrate raccolte da numerosi database durante gli ultimi anni (alcuni hacker sono riusciti a compromettere liste di password immagazzinate in server vulnerabili, pubblicandole in forum pubblici).<\/p>\n Una buona password<\/a> \u00e8 pressoch\u00e9 immune agli attacchi di forza bruta. Tuttavia, il punto debole principale della generazione automatica di password per gli hotspot di Apple \u00e8 che non solo si basa su parole (che gli utenti possano ricordare con facilit\u00e0), ma in particolare su un numero limitato di parole (dai 4 ai 6 caratteri), e con un suffisso numerico generato dalla combinazione altrettanto limitata di quattro cifre che, a quanto visto, non rende la password pi\u00f9 difficile da decifrare.<\/p>\n I ricercatori hanno utilizzato per l\u2019attacco di forza bruta il vocabolario open source Scrabble formato da 52.500 parole e hanno selezionato parole di quattro, cinque e sei lettere. Sono molte le parole che si compongono di questo numero di lettere; tuttavia, i ricercatori sono riusciti nel loro intento: in 49 minuti sono riusciti a craccare le password.<\/p>\n Ma i ricercatori non era soddisfatti: 49 minuti era troppo tempo. E cos\u00ec, ricorrendo ad un po\u2019 di ingegneria inversa (di cui non entreremo in dettaglio) hanno trovato all\u2019interno di iOS il file del dizionario che di fatto \u00e8 quello che genera automaticamente le password. Si tratta dello stesso vocabolario che iOS utilizza per il sistema di scrittura intuitiva grazie al quale, quando iniziamo a scrivere una parola con il nostro iPhone, essa viene completata automaticamente o ci vengono proposte una serie di voci tra cui scegliere. \u00c8 il dizionario a lanciare questa funzionalit\u00e0. I ricercatori sono riusciti a ridurre le 52.500 parole a una cifra molto pi\u00f9 gestibile, 1.842 parole: questo \u00e8 il numero delle parole prese in considerazione.<\/p>\n Il sistema di password per l\u2019hotspot di iOS si compone esattamente di 1.842 parole pi\u00f9 un suffisso di 4 numeri. Questo riduce di molto il tempo necessario (riduzione del 96%) per craccare il database delle password nell\u2019operazione messa a punto dagli investogatori.<\/p>\n C\u2019\u00e8 un altro fattore da tenere a mente: i ricercatori si sono resi conto che l\u2019algoritmo di iOS fa s\u00ec che alcune parole siano utlizzate come password pi\u00f9 frequentemente di altre. Le dieci pi\u00f9 in uso sono: suave<\/i>, subbed<\/i>, headed<\/i>, head<\/i>, header<\/i>, coal<\/i>, ohms<\/i>, coach<\/i>, reach<\/i> e macaws<\/i> (ricordiamo che l\u2019esperimento \u00e8 stato condotto per la lingua inglese). \u00c8 facile capire che ci\u00f2 riduce ancora di pi\u00f9 i tempi necessari per portare a termine un attacco; infatti, grazie a queste informazioni e all\u2019uso di potenti computer, il tempo per craccare una password iOS scende a 50 secondi. Giusto per curiosit\u00e0 e per dare un\u2019idea, il cluster dei computer impiegati per questo scopo riesce a immettere 390.000 tentativi al secondo.<\/p>\n Normalmente, concludo i miei post con un consiglio. Questa volta si tratta di una raccomandazione molto semplice: impostate sempre la password manualmente quando utilizzate il vostro iPhone come hotspot WiFi e createla forte e complessa. Si potrebbe trattare di una minaccia versatile<\/a>; per cui vi consiglio di evitare le password di default anche quando state utilizzando altri telefoni o tablet. I ricercatori pensano che tale metodo di attacco potrebbe funzionare su diverse piattaforme mobili<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Meglio pensarci due volte prima di utilizzare l\u2019iPhone come hotspot wireless, perch\u00e9 un gruppo di ricercatori del Dipartimento di Informatica presso l\u2019Universit\u00e0 Friedrich-Alexander di Erlangen-Norimberga \u00e8 riuscito a sviluppare un<\/p>\n","protected":false},"author":42,"featured_media":1266,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[3,656,204,25],"class_list":{"0":"post-1264","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-apple","9":"tag-hotspot-wi-fi","10":"tag-ios","11":"tag-iphone"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/meno-di-un-minuto-per-craccare-la-password-di-un-hotspot-wi-fi-ios\/1264\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/apple\/","name":"apple"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/1264","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=1264"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/1264\/revisions"}],"predecessor-version":[{"id":20195,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/1264\/revisions\/20195"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/1266"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=1264"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=1264"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=1264"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}