Hace 4 años | Por Mr.Bug a adslzone.net
Publicado hace 4 años por Mr.Bug a adslzone.net

El pasado domingo, un investigador de seguridad especializado en iOS llamado Siguza posteó lo que parecía la clave de cifrado que podría permitir hacer ingeniería inversa al Secure Enclave Processor de iPhone, encargado de cifrar datos y de almacenar otra información sensible como los datos biométricos de Face ID y Touch ID. Hay quien afirma que la clave de cifrado filtrada en el tweet pertenece al iPhone XR por lo que los modelos de 2019 seguirían estando seguros.

Comentarios

mandelbr0t

#3 Pues no está mal ya que incluye mayúsculas, minúsculas, números y caracteres especiales y tiene una longitud media. El 99% de las claves de usuario son peores y además repetidas en todos los lugares.

Urasandi

#6 Pero es tan predecible como "EnUnLugarDe"

anv

#6 Es el problema de tomar ese criterio para la seguridad de las claves.

Una clave sencilla como "ozcupo" puede ser mucho más difícil de descubrir que una que se considera segura como "SteveBlowjobs69*001"

anv

#23 Solo por la longitud "ozcupo" es mas sencilla que la "Steve.....".

Claro que es más sencilla. Pero mucho más difícil de descubrir porque no es una palabra del diccionario y no hay forma de saber la longitud que tiene. Podría tener 6 caracteres o 60, ¿probarías primero todas las combinaciones de 6? ¿Y si tenía 5? A demás hoy en día las pruebas por fuerza bruta no sirven de nada porque ningún sistema te deja probar demasiado seguido así que podría tomarte años probar todas las claves de 6 letras. Sin embargo probar claves como "SteveBlowjobs69*001" sería mucho más factible. De hecho, las puede probar un humano en un rato.

Abeel

#26 debo ser gilipollas pero no concibo en que escenario un humano al azar probase SteveBlowjobs69*001

anv

#27 Te explico: Steve Jobs es un nombre muy conocido. Steve Blowjobs es un "chiste fácil" asociado con él así que de entre los miles de millones de cosas que podría probar un ordenador, una persona podría elegir este juego de palabras bastante fácilmente, sobre todo si conoce a quien creó la clave. Por otro lado el "prefijo" 69 diría que es de los más usuales en las claves. Cuando se obliga a poner números muchísimas veces la gente agrega ese. Después está el símbolo. Podría ser uno de varios pero no son muchos a probar.

Normalmente en las instrucciones se dice que la clave debe llevar letras mayúsculas y minúsculas, números y símbololos. Y nota que la palabra "símbolos" está al final, así que inconscientemente la gente tiende a ponerlos después y no antes. Finalemnte están los sitios que fuerzan los cambios de clave regularmente. En esos casos la gran mayoría de las veces el usuario utiliza un número secuencial para ir cambiando. Otras veces se usan los nombres de los meses.

Como ves, forzar a la gente a seguir patrones específicos tiene la desventaja de que... siguen patrones específicos.

Pilfer

#23 aquí la tienes, llevo años diciéndolo, pero luego viene Hotmail (si hace años) que solo usaba los primeros 12 caracteres e ignoraba los siguientes y....

chorche77

#1 No le busques tres pies al gato.

D

#1. Si obligaran a cambiar el terminal gratis ya verias como cuidan las claves

DangiAll

#1 Esto como lo de tocar la frecuencia de la CPU para que te dure mas la batería en los terminales mas antiguos.

El que se volviesen mas lentos no era algo intencional.................................

D

#1 "lo que pasa en tu iPhone se queda en tu iPhone"

lol lol

Si Apple presume de pantalla la competencia saca una mejor.
Si Apple presume de cámara la competencia saca otra mejor.
Si Apple presume de seguridad... ¡Zasca!

d

#25 El cartel que pones en tu post habla de PRIVACY no de SECURITY

kelosepas

#29 No creo que se pueda concebir lo uno sin lo otro.

d

#33 Estoy relativamente de acuerdo contigo. Pero yo entiendo desde que han empezado con esa campaña que los tiros van más porque los móviles Android se dedican a enviar información fuera de tu dispositivo sin parar. De hecho en mi anterior One Plus 6 he instalado https://www.netguard.me/ y era totalmente cansino la de veces que veia intentos de enviar información a Facebook, Google y demás...
Pero obviamente, si no hay seguridad de ningún tipo, no hay privacidad... Aunque puedes tener un sistema operativo muy seguro, el OS dedicarse a enviar información al que hizo el sistema operativo, y aun habiendo seguridad tampoco hay privacidad.

D

#29 El que no se consuela es porque no quiere.

kelosepas

#1 Tiene muchos otros métodos que no sean poner en entredicho su principal argumento de venta que es la seguridad/privacidad.

c

#1 No sé si la gente confiará en la misma compañía para comprar su nuevo teléfono.

r

#0 Iba a mandar yo esta noticia pero me daba miedo miedito que me pusieran un STRIKE. Felicidades el usuario@Flagelador_5_Strikes que ha tenido los cojones de mandarla.

Mr.Bug

#21 El karma está para gastarlo como bien se dice por aquí. Es normal que a veces te tumben noticias y a veces no, eso hay que aceptarlo con deportividad.

Ya sé que todo lo que toca a Apple enciende sentimientos a favor y en contra pero la información debe fluir porque es un tema que puede afectar directamente a la seguridad de los que usan Apple y siempre es mejor estar informado.

Por suerte las noticias sobre temas tecnológicos suelen estar lejos de los flames que se montan en las noticias políticas, y yo me incluyo, que soy el primero que participa en exponer su opinión en esos temas, eso si casi nunca negativizo una noticia que no me guste salvo que ésta sea descaradamente manipuladora o sea spam.

Kosimo

Periodismo de primera: "y Apple no sabe qué hacer."

anv

#38 Sobre todo si es así.

D

Ya lo dijo XKCD: junta cuatro palabras seguidas que no guarden relación entre sí y que tenga una longitud “considerable” y ya no te la pillan jamás.

El ejemplo que daban creo que era correcthorsebatterystaple.

https://xkcd.com/936/

D

¿Alguien me puede explicar porque no se auto-crea una clave por cada chip en el momento de inicializarlo y así no hay clave genérica? De esta forma solo el propio chip sabría encriptar/desencriptar los datos y el descubir una clave no serviria para el resto de chips.

David_VG

#34 eso con cifrado asimétrico sería lo más razonable

Joya

x

#14 Yo te bloqueaba la tilde en orden.

D

Twitter hizo caso y eliminó el tweet, pero hoy ha vuelto a estar disponible, donde el propio Siguza ha afirmado que la reclamación de DMCA ha sido retirada.

Posteriormente, Apple confirmó que habían sido ellos los que habían solicitado la retirada del tweet, pero luego pidieron a Twitter que lo recuperaran.

sleep_timer

#16 Pos fale...

sleep_timer

Es esta?
iPhone11,8 17C5053a sepi 9f974f1788e615700fec73006cc2e6b533b0c6c2b8cf653bdbd347bc1897bdd66b11815f036e94c951250c4dda916c00

anv

#8 En un rato vamos a ver una órden para el bloqueo de Meneame.

sleep_timer

#14 Que digo yo...
¿No se pueden enviar chorros de letras y números?
Por ejemplo:
conlosdedosdelasmanosylosdedosdelospiesloscojonesylapollatodossuman23

anv

#15 ¿No se pueden enviar chorros de letras y números?

No. Algunos están prohibidos.

sleep_timer

#16 Entonces este tampoco se puede?
09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

anv

#19 No... y tampoco secuencias de caracteres que hagan escarnio de las creencias de otros por ejemplo.

D

#20 aunq esas creencias sean ficticias e indemostrables y estén basadas en novelas antiguas?

D

#14 Haría mucho bien al mundo.

aironman

El ingeniero está diciendo en twitter:

It does not allow decription of any past or future firmware.
It does not allow decryption of any data.
It is not a master key of any kind.
It does not allow running a rogue firmware.

y

¿Os acordais del día que se filtró la clave de descifrar los bluray y cómo se pusieron?

9f974f1788e615700fec73006cc2e6b533b0c6c2b8cf653bdbd347bc1897bdd66b11815f036e94c951250c4dda916c00

que no es la de los bluray. Aquello fué mejor pues el método usado podía desvelar cualquier clave futura, por lo que no la hubo.

Zade

Entiendo que lo bueno de todo esto es que a un hacker no le sirve de nada la clave a menos que te roben el telefono o le metas jailbreak