Apple ha vuelto a dar un paso en su camino por hacer su sistema operativo móvil más y más seguro. Ha sido el equipo DigiDNA, expertos de seguridad de iMazing, un software que sirve de alternativa a iTunes, quienes lo han publicado en una entrada de su blog, asegurando que las copias de seguridad de iTunes+iOS 10.2 usan un cifrado 1.000 veces más seguro que el usado en versiones anteriores, es decir, necesitan 1.000 veces más energía de procesamiento para hackear la contraseña de una copia en iTunes de iOS 10.2 que una de 10.1.x.
DigiDNA cree que este movimiento demuestra el compromiso de la compañía de manzana por proteger la seguridad y privacidad de sus clientes y que ha tenido lugar en parte como reacción a la aparición de cada vez más software de terceros que ofrecen herramientas para hackear contraseñas de una copia local de iOS. DigiDNA dice que las contraseñas de las copias de seguridad son muy sensibles porque muchos usuarios usan la misma contraseña que usan en su ID de Apple cuando activan el cifrado de la copia de seguridad.
iOS 10.2 mejora un protocolo que casi se mantenía desde iOS 4
Desde iOS 4, los protocolos de cifrado de las copias de seguridad de Apple se han mantenido más o menos igual. En iOS 10, los de Cupertino cambiaron el formato de estas copias y añadió una nueva capa de seguridad para los backups locales cifrados que cifraba también metadatos de archivos, como tamaño y fechas de creación de éstos, claves de cifrado y tipo de archivos. El problema es que, en un principio, el remedio fue peor que la enfermedad, puesto que llegó con un fallo de seguridad que hacía que hackear la contraseña de estas copias de seguridad fuera más fácil en vez de más difícil.
El nuevo problema de seguridad se corrigió en iOS 10.1 y la primera beta de iOS 10.2 volvió a cambiar las cosas añadiendo una sorpresa para los potenciales atacantes: no sólo se cifra toda la base de datos de los backups, sino que validar la contraseña de un usuario pide mucho más en términos de energía de procesado, lo que requiere más iteraciones para generar la clave derivada. El resultado es que «Nuestras contraseñas de usuario son ahora más seguras que nunca, tomando la mayor parte de 1.000 años para que nuestro hipotético hacker pueda crackearla«. ¿Qué tendrá que decir a esto Adrian Ludwing?
