Attenzione: l’autenticazione a due fattori di Apple può essere elusa

Il moderno stile di vita digitale con decine di account Internet, computer e gadget mobili non può esistere senza massicce misure di sicurezza. Su ogni singolo smartphone di oggi è compressa tutta la vita, dallo streaming di foto alla cronologia del browser, fino all’app per le transazioni bancarie.

Una protezione apprezzata e davvero affidabile dei contenuti digitali è quella dell’autenticazione a due fattori, oggi utilizzata in svariate forme. Quando si installa su un nuovo computer la piattaforma di gioco “Steam”, ad esempio, all’indirizzo email memorizzato nell’account viene inviato un PIN che dovrà essere immesso per riuscire ad effettuare l’accesso. Anche l’online banking con TAN per dispositivo mobile è in definitiva un’autenticazione a due fattori: dopo l’accesso con password dal computer, si riceve il TAN sull’app dello smartphone.

Cosa c’è di diverso nell’autenticazione a due fattori di Apple

Anche Apple utilizza per iCloud un’autenticazione a due fattori, che però funziona in modo differente. Invece di una email, il PIN viene visualizzato come finestra popup su un dispositivo già registrato. Chi configura un nuovo MacBook, riceverà il PIN sul suo iPhone. Dopo l’immissione del PIN, il MacBook viene classificato da Apple come affidabile.

Questo principio è di fatto sicuro, tuttavia nella pratica esiste un grosso problema. Infatti Apple invia il popup soltanto ad altri dispositivi Apple, come iPhone, iPad (a partire da iOS9) o a Mac (a partire da El Capitan). Chi possiede un solo prodotto Apple, non può visualizzare il PIN su un notebook Windows o su uno smartphone Android, ad esempio nell’email. Chi configura un iPhone ma non ha in casa nessun altro dispositivo Apple, può ricevere il PIN via SMS o tramite un generatore di PIN locale sul telefono stesso: come si può ben capire questa autentificazione a due fattori non è più sicura.

I browser vengono classificati come “dispositivi affidabili”

Praticamente per assurdo, la procedura viene comunque svolta, se si effettua l’accesso a iCloud tramite il browser Internet. Anche in questo caso il PIN di sicurezza viene inviato a tutti i dispositivi, incluso quello dal quale si è appena effettuato l’accesso. Il motivo è che Apple classifica i browser come “dispositivi affidabili”.

L’abbiamo provato dal vero e abbiamo effettuato l’accesso a iCloud da un iMac con il browser Firefox. Il PIN di sicurezza è arrivato anche all’iMac. In questo caso, l’autenticazione a due fattori di fatto non esiste più. Lo stesso accade anche quando si effettua l’accesso a Internet dall’iPhone o dall’iPad.

Naturalmente la questione si fa particolarmente delicata, se è un aggressore a conoscere la password e ad accedere al Mac o all’iPhone. Ancora peggio però, se in iCloud sono memorizzate anche le password Keychain di Safari: in questo caso l’aggressore ha accesso totale alla vita digitale della vittima. Apple è consapevole di questa debolezza, ma non si preoccupa di cambiare.

Questo articolo è disponibile anche in: TedescoFrancese