La vulnerabilità del PIN su Windows 10 Mobile

Pin - Sicurezza - Windows 10 Mobile - Windows Lover

Il sito MSPU riporta di una (relativamente) piccola vulnerabilità “insolita” del PIN di Windows 10 Mobile, alla quale dovreste stare attenti se lasciate spesso incustodito il cellulare.

Giusto l’altro giorno ero intento nella lettura di “tecniche di social engineering” volte a scovare dati relativi ad utenti target, allorquando qualcuno finisca nelle mire di un numero “inesistente” il cui unico fine risulti quello di infastidire qualcuno per un motivo o per l’altro.

Ebbene, capita a fagiolo in tal senso un articolo che ho recentemente trovato girovagando per la rete, relativo ad una piccola “vulnerabilità” di una delle opzioni di accesso ai nostri sistemi Windows 10 Mobile, vale a dire il PIN.

La protezione del PIN

Cosa sia il PERSONAL IDENTIFICATION NUMBER (o PIN) è più o meno noto a tutti, specialmente da quanto questo termine è entrato in vigore pure da noi per identificare quella serie di numeri [segreti a tutti tranne che a noi] che costituiscono la prima barriera all’accesso dei nostri conti correnti, delle nostre SIM card o, da qualche tempo, anche dei nostri account Microsoft, specialmente su Windows 10.

In genere, focalizzando la nostra attenzione su Windows 10 Mobile, il PIN è una stringa di 4 numeri (ciascuno da scegliere nel range di valori compresi tra 0 e 9) immessa la quale potremo aver accesso ai contenuti del nostro device.

Pin - falla sicurezza - Windows 10 mobile - Windows Lover

Ebbene, come raccontato da MSPU, esiste una piccola falla di sicurezza per gli utenti che dispongano di un device Windows 10 Mobile [e siano sprovvisti di Windows Hello (ulteriore sistema di “protezione all’accesso”].

La falla di Windows 10 Mobile relativa al PIN

Immaginate uno scenario simile a questo:

avete impostato il cellulare per chiedervi il PIN solo dopo 3 minuti di inattività, per un attimo sbloccate il dispositivo per vedere un SMS e poi lo lasciate sul tavolo, allontanandovi un attimo per andare in bagno, convinti che entro 3 minuti il cellulare si auto proteggerà.

Ora, appare evidente una cosa su tutte: nel lasso di tempo tra l’aver posato il cellulare e i 3 minuti, i contenuti del vostro device sono ESPOSTI agli occhi di chiunque. Poco male se vi trovate in un ambiente sicuro… Ma non sempre tutto va come vorremmo.

Pensateci: che cosa accadrebbe se qualcuno potesse rimuovere il PIN senza che voi lo sappiate, per approfittare di un ulteriore momento di distrazione?

La falla del PIN Windows 10 Mobile!

Fate una prova voi stessi. Immaginatevi nella situazione che ho descritto ed accedete al telefono prima che siano passati i 3 minuti.

Andate in OPZIONI DI ACCESSO e provate a cambiare PIN. Vero che non potete, scegliendo “Cambia PIN”?

Ok. Adesso provate a RIMUOVERE il PIN impostato dal legittimo proprietario del telefono (voi stessi). Che accade?

Ecco la falla. Il telefono obbedirà senza indugio al comando impartito, rimuovemndo senza pensarci un attimo il PIN precedente, lasciando il cellulare “esposto” agli occhi di qualsiasi curioso/malintenzionato.

Falla di poco conto o no?

Una piccola falla, è vero, ma che potrebbe non esserlo poi tanto se qualcuno decidesse di intensificare i controlli sul vostro device  e dovesse riuscire a taglairvi addirittura fuori, venendo in possesso (in qualche modo) delle vostre credenziali in maniera da impostare a sua volta un PIN.

E questo, cari amici, è proprio quello che in genere potrebbe voler fare chi abbia in mente di  lucrare sui vostri dati: non tanto leggerli o divulgarli (cosa già odiosa di suo), ma chiedervi dei soldi per “riaverli” (anche se il cellulare è materialmente in mano vostra, un po’ come avviene per i computer con i ransomware tipo crytolocker)

La domanda delle domande è semplice: Microsoft ha già impedito la rimozione del PIN (se non si è in possesso delle credenziali idonee) sui computer con Windows 10; ma allora, perchè questa funzione ancora non è approdata su Windows 10 Mobile?

Speriamo che un fix arrivi in tempi brevi anche sui nostri device portatili!

Articolo precedenteArticolo successivo
R. Laterza
Orienta la tua vita in maniera che nessuno possa dire che l'unica cosa che hai di smart sia il tuo telefono!
  • MV Nicola

    Pazzesco…tutto questo sull’SO mobile che spesso viene decantato come il più sicuro rispetto ai due diretti concorrenti! …corro subito ad impostare “blocca sempre” ?

    • simone950

      Beh io non ne conosco molti che mettono il pin in ritardo, e se lo fanno lo fanno per pochi secondi e in questi casi il bug credo non avvenga perche il bug dovrebbe presentarsi solo nell’arco di tempo in cui è presente la pausa in cui a telefono bloccato non viene richiesto il pin

      • MV Nicola

        Io invece parecchi…anche perché mentre si usa il telefono inserirlo ogni volta è fastidioso oltre che lento. Quello che dici pochi secondi è minimo un minuto…

        • simone950

          Hai ragione… Io mi ricordavo che c’èra l’opzione anche pochi secondi (15mi pare) forse con 8.1?!

          • MV Nicola

            No..Forse ti confondi con il timer spegnimento schermo..! Spero lo sistemino in fretta perché è una cazzatina non da poco..soprattutto per il danno alla seppur modesta fama di w10m

      • EH, invece putroppo alcuni si scocciano parecchio a dover mettere il pin ogni santa volta e mettono un piccolo delay (nei casi migliori di 3 minuti).

    • Ecco, esatto. Non è che è poco sicuro, sarà di sicuro una svista. E deve succedere qualcosa di specifico come lo scenario che ho descritto.

  • simone950

    Scusate ma per pin viene inteso quello dello smartphone giusto? Perche io nello Smartphone ho un pin da 10 numeri (no, non il numero di telefono! ;)) è per la sim che il pin è da 4 numeri

    • MV Nicola

      Codice di sblocco, minimo 4 cifre

    • Quello del telefono, sì. NON quello della SIM.
      Io l’ho impostato su 4 cifre, sicuro che non parliamo della password? Mi pareva che l’impostazione fosse limitata a 4 numeri. FOrse ricordo male.
      In ogni caso, quello lì insomma.

  • Luca950

    Io ce l’ho su sempre e poi lo blocco io stesso il telefono ?

  • Pure new wool

    Ah beh, una cosa che ho notato è che anche con telefono bloccato si può accedere per un attimo al menù delle notifiche e un tasto si riesce a premere, tipo rete, WiFi…
    Spero anche rimettano il pin su one drive, non capisco perché su Android c’è e su win10m no.

    OT x Roc: anche a te problemi di notifiche sul redmi note 3 pro?

    • LLorenzo12

      Si dovrebbe poter scegliere per ogni tasto se consentirne o meno l’interazione a telefono bloccato… Speriamo aggiungano questa funzione. Farei lo stesso anche per volume e spegnimento.

    • Il centro notifiche è disabilitabile nelle impostazioni :-) così puoi evitare che si veda a telefono bloccato

      • Pure new wool

        Ah grazie per la dritta!

    • No, no è una cosa semplice che devi impostare.
      Dunque, premi su SICUREZZA (icona dalla quale accedi a cancellazione della spazzatura, livello batteria, etc..)

      – tap su PERMESSI, avvio automatico, quindi attiva TUTTE le app delle quali vuoi per forza le notifiche;

      – torna indietro e vai su ALTRI PERMESSI: anche qui, metti ATTIVO su tutte le app che ti interessano;

      – torna indietro indietro e fai TAP su BATTERIA, RISPARMIO BATTERIA, quindi scegli ad una ad una le app che ti interessano ed impostale così: NESSUNA RESTRIZIONE e CONSENTI POSIZIONE IN BACKGROUND.

      Fatto.

      Da ora, notifiche a posto. Perchè accade tutto questo? Perchè MIUI prova a gestire in automatico le cose, per farti risparmiare batteria. Non è un difetto, è un eccesso di zelo :)

      ATTENZIONE: quando tappi sulla famosa icona “SICUREZZA”; hai accesso anche a PULITORE ed “OTTIMIZZA” e ANALIZZA USO BATTERIA.
      QUalche volta, per farti durare di più la batteria, MIUI prova a chiederti di “disattivare le app che si avviano da sole”. TU togli la spunta quando succede e vedrai che andrà sempre tutto bene.

      Se hai altri problemi, chiedimi pure e quel poco che so provo a dirtelo.

      • Pure new wool

        Grazie! In effetti la miui è un po’ restrittiva con apps scaricate sul play store, comunque è notevole e completa. Impressionanti le apps MS per android, da Arrow launcher a one note, per non parlare di quelle di MS garage, spero arrivi presto cortana in italiano. Lo sapevi che il redmi note 3 pro dovrebbe poter registrare i video in 4k usando open camera? L’ho scoperto col redmi 4 pro… ?

        • No, non sapevo di questa notizia. Bene allora! :)

  • Molto male, non me ne ero mai accorto! Per ovviare a questa vulnerabilità lo smartphone dovrebbe chiedere il PIN quando si tenta di rimuoverlo, poi in caso rimuoverlo, anche se è sconsigliabile

    • E mandare una mail sull’account di Outlook in cui si venga informati e si possano prendere provvedimenti (Google già lo fa, fa anche molte caxxate, ma quì è un’altro discorso. Io addirittura ho impostato la mia gmail perché ad ogni accesso mi chieda un codice inviato sul momento sul cellulare).

  • Mario Paolillo

    Chi sano di mente lascerebbe uno smartphone alla mercé di tutti?

    • Dottori che stanno per visitare un paziente nel loro studio, mentre il tuo accompagnatore resta “seduto” vicino la scrivania; venditori di auto che vanno a compilare carteggio vario e lasciando il cellulare sotto carica.. E potrei andare avanti all’infinito.

      Non lo si fa apposta, ma capita. Eccome.

    • skywalkersenior

      Negli ambienti lavorativi che frequento lo vedo capitare più spesso di quanto si creda

  • Richard Scisci

    Beh si, però basta mettere su “sempre” alla voce di richiesta del pin ogni volta che si accede. Io l’ho sempre fatto sin dal primo giorno. Mandala su windows feedback sta cosa, anche se dubito ascoltino gli utenti.

    • Ciao.

      Hanno già provveduto, non l’ho scoperta io. Ho scritto che ho trovato la notizia su MSPU e l’ho riportata per comodità di qualcuno.

      In ogni caso, ci sono molte più persone di quante si possa credere che tolgono il “SEMPRE” per mettere “ogni 15 minuti”. Ecco perchè bisogna considerare, secondo me, tutte le tipologie di utenti ed i relativi “vizi”.

      • Richard Scisci

        Beh si, alcune persone effettivamente anche per fretta mettono ogni 15 minuti. P.s. Mi scuso per non aver letto in modo appropriato l’articolo, ma stavo in dormiveglia ahahahahahah

        • Non ti preoccupare. Non ho colto nessuna svista. ;)

  • Matteo

    È vero che si può rimuovere il pin anche da parte di chi non lo conosce, ma non è possibile reimpostarlo se non si ha la password dell’account Microsoft. Può essere una evenienza rara, ma se tuo figlio ti cambia il pin e ovviamente se lo dimentica, se avevate impostato il blocco dopo alcuni minuti avete la possibilità di cambiarlo, altrimenti come si sbocca? (non chiedermi perché tuo figlio debba cambiare il pin, vi assicuro che lo fa!)

    • Vero, certo!
      Infatti ho scritto che se si è oggetto di “controllo”, prima o poi il rischio potrebbe essere quello di vedersi esclusi dai propri dati. Ma in una situazione normale no, chiaramente, perchè impostare in nuovo pin sarebbe un problema per uno “scocciatore” normale.
      Accanto a questo, però, potrei aggiungere la seguente domanda:
      e se lo scocciatore al posto di “catturare i dati” o “escluderci” andasse in impostazioni e facesse un “reset” generale? Quante cose perderemmo senza poter fare nulla?
      Ci sono protezioni lì?

  • skywalkersenior

    È una questione di sicurezza “secondaria” che difficilmente viene percepita come importante dalla maggior parte degli utenti. Molta gente che conosco lascia tranquillamente il telefono sbloccato sulla scrivania. Lo Smartphone viene ancora percepito come un “elettrodomestico” mentre è molto più simile, come importanza per le funzioni che ha e per i dati che contiene, ad un portafogli. Chi lascerebbe un portafogli incustodito?

    • Molto d’accordo con te. Ottimo paragone

    • Luca Serri

      È vero, molti utenti non si preoccupano di nulla finchè non accade il guaio: basta guardare quante volte si svolge una conversazione del tipo “Ho un problema al mio dispositivo, posso recuperare i miei dati?” “Basta che tu abbia un backup e li recuperi” “Cos’è un backup?”. Su iPhone in generale vedo che molti usano il Touch ID, ma su altri device ci sono non pochi utenti che non usano password né altri tipi di protezione.

  • 00SAMU

    Basta impostare che appena blocchi il cellulare si blocchi subito. Il mio codice a 11 cifre rimarrà inespugnabile.

    • Ciao. Vero, però considera che non tutti vogliono/possono.
      Ci sono lavori o situazioni in cui è necessario essere “subito” operativi e inserire il pin ogni volta (specie se bisogna immettere tante cifre) è una perdita di tempo che non ci si può permettere.

  • E io che ne so

    Bè falla ma non così grave a mio modesto avviso.
    Prendete un android con pin ed ok google.
    Ora col telefono bloccato impostate un promemoria e memorizzatelo.
    Voilà superato il blocco…

    • Certo, le sviste sono ovunque!

  • BioLumia

    Che incompetenti! (mi riferisco a Microsoft).

    • Dai, bisogna avere pazienza. In effetti è una piccolezza (grave, solo se sei in quel tipo di scenario). Siamo costruttivi ! :)