Los códigos de acceso de iPhone de seis dígitos ya no ofrecen protección adecuada

Ya no es seguro usar una contraseña de seis dígitos en su iPhone.

Gracias a un nuevo tipo de dispositivo de craqueo especializado, los funcionarios encargados de hacer cumplir la ley pueden omitir cualquier código de acceso de iPhone de 6 dígitos en hasta once horas o menos, mientras que un código de acceso de cuatro dígitos se puede calcular en 6.5 minutos en promedio o 13 minutos como máximo.

TUTORIAL: Cómo configurar un código de acceso de iPhone más seguro

Una caja gris que mide cuatro pulgadas de ancho por cuatro pulgadas de profundidad por dos pulgadas de alto, con dos cables Lightning sobresaliendo del frente, la caja GrayKey fue diseñada por una compañía llamada Grayshift. Funciona con todos los modelos recientes de iPhone..

El dispositivo está diseñado para funcionarios encargados de hacer cumplir la ley..

Según la placa base de VICE, el dispositivo de $ 15,000 conectado a Internet utiliza un jailbreak de iPhone no revelado o un exploit de día cero que le permite romper la limitación de entrada de contraseña impuesta por el coprocesador criptográfico Secure Enclave diseñado por Apple..

Después de cuatro intentos de código de acceso consecutivos, el Enclave seguro comienza a retrasar intentos adicionales, en un minuto para un quinto intento fallido o una hora para el noveno error de código de acceso consecutivo. GrayKey no solo pasa por alto este seguro, sino también la opción de iOS de borrar el contenido de su iPhone después de diez intentos de contraseña fallidos consecutivos.

Según Matthew Green, profesor asistente y criptógrafo del Instituto de Seguridad de la Información John Hopkins, adivinar un código de acceso de 8 dígitos puede demorar entre 46 horas y 92 días. Un código de acceso sólido de 10 dígitos con números aleatorios puede demorar hasta 25 años en descifrarse, o más de 13 años en promedio.

Guía para los tiempos de descifrado de códigos de acceso estimados de iOS (supone un código de acceso decimal aleatorio + un exploit que rompe la aceleración de SEP):

4 dígitos: ~ 13min peor (~ 6.5avg)
6 dígitos: ~ 22.2 horas peor (~ 11.1avg)
8 dígitos: ~ 92.5days peor (~ 46avg)
10 dígitos: ~ 9259days peor (~ 4629avg)

- Matthew Green (@matthew_d_green) 16 de abril de 2018

En septiembre de 2014, Apple convirtió el cifrado de disco en el valor predeterminado en iPhone.

Si bien el cifrado de disco completo protege sus datos, alguien que pueda adivinar su contraseña puede leer o extraer sus datos fácilmente. Después de que su dispositivo se ha desbloqueado con éxito utilizando la caja de craqueo, el contenido completo del sistema de archivos se descarga al dispositivo GrayKey, incluidos los contenidos no cifrados del llavero del sistema.

Se puede acceder a sus credenciales de cuenta, nombres y números de teléfono, correos electrónicos, mensajes de texto, información de cuentas bancarias e incluso números de tarjetas de crédito o números de seguridad social desde allí a través de una interfaz basada en la web en una computadora conectada para su análisis.

Ryan Duff, un investigador que estudió iOS y Director de Soluciones Cibernéticas para Point3 Security, le dijo a Motherboard en un chat en línea:

Las personas deben usar un código de acceso alfanumérico que no sea susceptible a un ataque de diccionario y que tenga al menos 7 caracteres de largo y tenga una combinación de al menos letras mayúsculas, minúsculas y números. Se recomienda agregar símbolos y cuanto más complicado y largo sea el código de acceso, mejor.

Desde el lanzamiento de iOS 9, Apple requiere un código de acceso de 6 dígitos por defecto.

Si desea reforzar la seguridad de su iPhone o iPad, puede aumentar aún más la seguridad de su código de acceso configurando un código de acceso numérico personalizado o una contraseña alfanumérica.

Si fuera usted, establecería una contraseña alfanumérica.

Claro, escribir un código alfanumérico largo es una molestia en lo que sabes, pero dado que contiene múltiples letras y números, será increíblemente más fuerte que esos códigos de acceso de 6 dígitos fácilmente descifrables. Ah, y asegúrese de verificar la longitud de su código de acceso; las personas que han restaurado las copias de seguridad al actualizar a los iPhone más nuevos aún pueden tener códigos de acceso de 4 dígitos.

Los dispositivos como el cuadro GrayKey funcionarán hasta que Apple corrija los ataques en los que confían, momento en el que los iPhones actualizados ya no serán susceptibles a ataques de contraseña como este. Para aquellos que se preguntan, el dispositivo GrayKey funciona en el último hardware con iOS 11.2.5.

Imagen de héroe: caja de grietas para iPhone GrayKey, cortesía de MalwareBytes