GrayKey está de moda en la comunidad policial porque hace que descifrar el código de acceso de su iPhone sea simple y rápido. Si la policía puede conseguir el dispositivo de bolsillo, los piratas informáticos también lo conseguirán. Eso significa que si no está utilizando un código de acceso fuerte para proteger su iPhone, es hora de repensar esa estrategia.
¿Qué es GrayKey?
GrayKey es una pequeña caja de Grayshift que descifra el código de acceso en los iPhones. Conecta un iPhone al dispositivo y, después de unos minutos u horas, según la longitud de su código de acceso, escupe su código. Con eso en la mano, cualquiera puede iniciar sesión en su iPhone y acceder a todos sus contenidos.
GrayKey está disponible solo para los organismos encargados de hacer cumplir la ley y no es barato. Por US $ 15,000 puede obtener una versión del dispositivo que está bloqueado permanentemente en su red, o por $ 30,000 puede obtener uno que funcione en cualquier lugar.
La empresa de investigación de seguridad Malwarebytes describió cómo funciona el dispositivo diciendo:
Se pueden conectar dos iPhones a la vez y permanecer conectados durante unos dos minutos. Después de eso, se desconectan del dispositivo, pero aún no se descifran. Algún tiempo después, los teléfonos mostrarán una pantalla negra con el código de acceso, entre otra información. El tiempo exacto varía, tomando aproximadamente dos horas en las observaciones de nuestra fuente. Puede tomar hasta tres días o más para las contraseñas de seis dígitos, según los documentos de Grayshift, y no se menciona el tiempo necesario para las contraseñas más largas. Incluso los teléfonos deshabilitados se pueden desbloquear, según Grayshift.
Grayshift no dice cómo funciona el dispositivo, por lo que no está claro si su iPhone se ve comprometido de alguna otra manera después de recuperar la contraseña.
Explicación de las contraseñas de iPhone
Los códigos de acceso de cuatro dígitos parecían lo suficientemente fuertes en los primeros días del iPhone. En los últimos años, Apple ha estado presionando a los usuarios con códigos de seis dígitos porque son más difíciles de piratear. Los códigos de seis dígitos son los predeterminados en iOS ahora, y debe elegir específicamente usar un código de cuatro dígitos. Pista: no hagas eso.
iOS también le permite establecer contraseñas más largas y contraseñas que incluyen letras y símbolos de puntuación. La idea es que se vuelve sustancialmente más difícil piratear un código de acceso a medida que se vuelve más largo y complicado.
Bloquear su iPhone con un código de acceso es inteligente porque ayuda a proteger la información personal, además, sin un código de acceso, no puede habilitar Apple Pay.
GrayKey y el caso de contraseñas sólidas
Los dispositivos GrayKey se venden solo a los organismos encargados de hacer cumplir la ley, pero eso no significa que finalmente no caerán en las manos equivocadas. Y si Grayshift descubrió cómo hacer esto, es una apuesta segura que otras compañías tienen, o al menos están en el proceso.
Cellebrite, por ejemplo, también ha estado proporcionando a las fuerzas del orden servicios de desbloqueo de iPhone. La compañía estuvo en el centro de atención en 2016 cuando el FBI usó sus servicios para obtener acceso a un iPhone recuperado del tiroteo masivo de San Bernardino. Syed Farook usó el teléfono y el código de acceso se perdió cuando murió en un tiroteo con la policía.
[FBI Turns to Cellebrite to Unlock Syed Farook’s iPhone]
[Cellebrite Hacked, Reaffirming Apple’s iOS No-backdoor Stance]
Los servidores de Cellebrite fueron pirateados en 2017, lo que demuestra que incluso cuando las empresas toman medidas para mantener segura la tecnología de piratería de su iPhone, no siempre es segura.
Matthew Green, un instructor de criptografía en Johns Hopkins, dice que descifrar el código de acceso no lleva mucho tiempo. Él dice que puede tomar solo 13 minutos encontrar un código de cuatro dígitos y menos de un día para un código de seis dígitos.
Guía de tiempos estimados de descifrado de códigos de acceso de iOS (asume un código de acceso decimal aleatorio + un exploit que rompe la limitación de SEP): 4 dígitos: ~ 13min peor (~ 6.5avg) 6 dígitos: ~ 22.2hrs peor (~ 11.1avg) 8 dígitos: ~ 92.5 días peor (~ 46avg) 10 dígitos: ~ 9259 días peor (~ 4629avg)
Dado que sabemos que las empresas están vendiendo herramientas para descifrar nuestros códigos de acceso de iPhone, y es posible que esas herramientas no siempre estén bajo el control de las fuerzas del orden, cualquier cosa que podamos hacer para dificultar la piratería en nuestros dispositivos parece una gran idea. No podemos cambiar las medidas de seguridad integradas, pero podemos establecer contraseñas más largas y complejas.
[How to Set an Alphanumeric Passcode on Your iPhone or iPad]
Sin duda, Apple está trabajando para eliminar posibles vulnerabilidades de piratería de códigos de acceso. Algunos pueden corregirse con actualizaciones de software, pero otros pueden requerir cambios de hardware. Podemos usar nuestros códigos de acceso para dificultar el proceso de piratería por ahora, y tal vez sea aún más difícil cuando Apple encuentre nuevas formas de reforzar la seguridad del iPhone.
