A CNet dá conta de uma investigação levada a cabo por Tarjei Mandt que alega que uma mudança feita para melhorar a segurança do iOS 7 teve um efeito exatamente contrário.
Na conferência CanSec West levada a cabo em Vancouver, no Canadá, o investigador da Azimuth Security explicou que a Apple cometeu um erro na forma como programou o novo gerador de números aleatórios usado para encriptar o kernel do iOS 7. “Em termos de segurança, é muito pior do que o iOS 6”, diz Mandt.
Segundo o investigador, o problema está na forma como a Apple calcula números aleatórios para fortalecer a segurança da encriptação do kernel, o componente base do sistema responsável por uma série de tarefas como a gestão do sistema de ficheiros. Se os números puderem ser adivinhados, o facto de serem aleatórios deixa de ter qualquer importância. Segundo Mandt, o novo gerador de números usa um algoritmo recursivo que produz valores com “mais correlação”. Isto faz com que seja muito mais fácil extrapolar resultados e adivinhar os números usados para encriptar o kernel, que deviam ser aleatórios e, como tal, muito difíceis de adivinhar.
O problema parece ser grave o suficiente para o investigador ter sido abordado depois da palestra por engenheiros da Apple: “[Engenheiros de segurança da] Apple abordaram-me depois e pareciam muito preocupados”, afirmou o investigador. Madnt diz que se o problema não for resolvido, o iOS recuará dez anos no campo das técnicas usadas para reforçar a segurança do sistema contra ataques.
