GrayKey è il nome di un costoso scatolotto venduto (in teoria solo a forze dell’ordine e simili) da un’azienda denominata Grayshift e con il quale è possibile sbloccare gli iPhone con il metodo della “forza bruta”, in altre parole verificando tutti i codici di sblocco teoricamente possibili fino a che si trova quello effettivamente corretto (ne abbiamo parlato qui).
In precedenza sembrava che GrayKey fosse in grado di sbloccare un iPhone con codice di sblocco a 4 cifre in poche ore e quelli con codice di sblocco a 6 cifre in giorni ma Motherboard riferisce che i tempi di cracking sono molto più veloci e spiega anche che è possibile proteggersi contro potenziali meccanismi di attacco simili impostando un codice di sblocco più lungo e complesso.
Matthew Green, professore assistente e crittografo presso l’Information Security Institute alla Johns Hopkins University riferisce che il dispositivo in questione può sbloccare un iPhone protetto con un semplice codice a 4 cifre mediamente in sei minuti e mezzo o, nella peggiore delle ipotesi in circa 13 minuti. Stando ai suoi calcoli, l’individuazione di un codice a 6 cifre può richiedere fino a 22.2 ore, mentre con 8 cifre si passa da almeno 46 ore fino a 92 giorni. I numeri arrivano a 25 anni o 12 anni di media per un robusto codice di 10 cifre composto da numeri casuali.
Guide to iOS estimated passcode cracking times (assumes random decimal passcode + an exploit that breaks SEP throttling):
4 digits: ~13min worst (~6.5avg)
6 digits: ~22.2hrs worst (~11.1avg)
8 digits: ~92.5days worst (~46avg)
10 digits: ~9259days worst (~4629avg)— Matthew Green (@matthew_d_green) April 16, 2018
Per dissuadere eventuali pirati informatici dal tentare di decifrare i codici, iOS applica ritardi sempre più lunghi dopo l’inserimento di un codice errato in “Blocco schermo”. Se in Impostazioni > Touch ID e codice l’opzione “Inizializza dati” è attiva, il dispositivo verrà cancellato automaticamente dopo 10 tentativi errati consecutivi di inserimento del codice. GrayKey “inietta” nell’iPhone una sorta di jailbreak in grado di bloccare l’inizializzazione del dispositivo dopo 10 tentativi falliti.
Com’è facile immaginare, più lungo è il codice, maggiore sarà il tempo necessario per sbloccare il dispositivo. Esperti di sicurezza interpellati da Motherboard consigliano a chi vuole maggiore sicurezza di usare codice di sblocco composti da almeno 7 caratteri alfanumerici con numeri, lettere e simboli, elemento che complica non poco la ricerca del codice di sblocco.
Per impostare un codice di sblocco più complesso nell’iPhone basta andare in Impostazioni, selezionare “Touch ID e codice”, indicare l’attuale codice di sblocco, scorrere in basso, selezionare “Cambia codice”, indicare il codice attuale. Nella schermata che appare è possibile indicare un nuovo codice o selezionare “Opzioni codice”: selezionando quest’ultima è possibile impostare un codice alfanumerico personalizzato, indicando lettere, numeri e simboli. Specificando questa opzione, per sbloccare il telefono non sarà più mostrato il tastierino numerico sullo schermo ma la tastiera completa.
