Alcuni giorni fa, negli Stati Uniti, un iPhone 6S è stato rubato durante una rapina. Spiacevole, ma può capitare.

L'accesso all'iPhone in questione era protetto da una password non banale, lunga sei caratteri, ed era anche stato attivato il riconoscimento dell'impronta digitale. In teoria, i dati erano al sicuro.

Invece, ad appena un paio d'ore dalla rapina l'autore del furto è stato in grado di cambiare le password di alcuni servizi online, tra i quali l'Apple ID e il Google Account, ed è anche riuscito a contattare la banca della vittima nel tentativo di farsi dare i codici di accesso all'home banking. Tutte operazioni di cui il legittimo proprietario è stato informato in tempo reale via email dalle funzionalità automatiche dei servizi violati.

Articoli suggeriti:

Buone azioni e serrature ridicole

iPhone 8, addio al pulsante Home?

Hackerato SUV di Mitsubishi, sicurezza zero

Bimbo dice di sentire le voci di notte in cameretta: stavolta è vero

Sebbene il ladro non sia riuscito a mettere le mani sul conto della vittima, tutto ciò è abbastanza preoccupante: com'è possibile che il malvivente sia stato in grado di aggirare le protezioni?

Se si tiene conto che il ladro, a parte il telefono e i soldi, non era in possesso né di documenti né di altre informazioni personali sulla vittima, che oltretutto era stata scelta casualmente, si intuisce come lo scenario sia tutt'altro che tranquillizzante.

Sebbene non siano noti i passi esatti compiuti dal criminale per riuscire a prendere controllo dei vari account violati, c'è un'informazione importante che permette di capire come abbia fatto: la SIM non era protetta da un PIN.

È bastato spostarla in un altro smartphone per scoprire il numero di telefono. Poi, con un po' di ingegno e l'aiuto involontario di WhatsApp - come spiega Morphus Labs - è stato facile scoprire anche nome e cognome del legittimo proprietario.

Una ricerca con Google è quindi stata sufficiente per passare dal nome all'indirizzo email. E con questi dati, è stato banale accedere al Google Account, all'Apple ID e, in definitiva, all'iPhone rubato. Che infatti a poco più di due ore dal furto è stato resettato con successo.

Tutto ciò permette di ricavare alcune preziose indicazioni. La prima è che permettere allo smartphone di mostrare le notifiche anche quando è bloccato sarà anche comodo, ma è pericoloso.

Il ladro ha infatti potuto leggere messaggi WhatsApp e SMS sull'iPhone rubato anche prima di riuscirlo a sbloccare, e persino a rispondere a essi proprio grazie a quelle funzionalità pensate per semplificare la vita agli utenti.

In secondo luogo, la vicenda illustra quanto sia importante proteggere la SIM con un PIN. Sempre in ossequio alla comodità, molti oggigiorno disabilitano la necessità di inserire il PIN della SIM a ogni accensione del telefono, limitandosi a fare affidamento sulle protezioni del sistema operativo.

Tuttavia, se la SIM rubata fosse stata protetta da un PIN, il ladro non avrebbe potuto scoprirne il numero di telefono semplicemente inserendola in un altro smartphone, e l'intera catena di violazioni non si sarebbe verificata.

A dir la verità ci sarebbe un ultimo dettaglio che sarebbe importante tenere a mente: l'autenticazione a due fattori.

La vittima del furto non l'aveva attivata per nessuno dei propri account, e ciò ha facilitato di molto il lavoro del ladro. Anche questa funzione può essere ritenuta dai più una scocciatura, ma se si vogliono proteggere i propri dati (e i propri soldi, in certi casi) un po' di scomodità val bene la protezione in più.

Anche perché - è bene ricordarlo - al ladro sono bastate appena due ore per violare un iPhone in teoria protetto da password e impronta digitale.