Badacz bezpieczeństwa odkrył, jak brutalnie wymuszać kod dostępu na dowolnym iPhonie lub iPadzie, omijając mechanizmy bezpieczeństwa oprogramowania. Jest to bardzo proste do wykonania. Jak twierdzi Matthew Hickey, wystarczy kabel Lightning i zablokowany iPhone lub iPad. Tyczy się to również iOS 11 do wersji 11.3, ale iOS 11.4 wydany w maju zdaje się być wolny od błędu.
Od czasu wprowadzenia systemu iOS 8 w 2014 roku wszystkie iPhone’y i iPady zostały wyposażone w szyfrowanie urządzeń. Jest wtedy chronione cztero- lub sześciocyfrowym kodem. Połączenie zabezpieczeń sprzętu i oprogramowania prawie uniemożliwiło włamanie się do iPhone’a lub iPada bez współpracy ze strony właściciela urządzenia. A jeśli nieprawidłowe hasło zostanie wprowadzone zbyt wiele razy, urządzenie zostanie wyczyszczone. Ale Matthew Hickey, badacz bezpieczeństwa i współzałożyciel firmy Hacker House zajmującej się bezpieczeństwem cybernetycznym, znalazł sposób na obejście 10-razowego limitu i wprowadzenie dowolnej liczby kodów.
Jak twierdzi Hickey, osoba atakująca potrzebuje tylko włączonego, zablokowanego telefonu i kabla Lightning. Zwykle iPhone’y i iPady są ograniczone pod względem tego, ile razy można wprowadzić hasło. Nowsze urządzenia Apple zawierają „bezpieczną enklawę”. Jest to część sprzętu, której nie można zmodyfikować i która chroni urządzenie przed atakami, jak na przykład wpisanie jak największej liczby haseł. W bezpiecznej enklawie zapisuje się liczbę błędnych prób wprowadzenia hasła i zmniejsza się szybkość odpowiedzi przy każdej nieudanej próbie.
iOS 11 zagrożone, ale iOS 12 wprowadzi znacznie większe zabezpieczenia
Sposób Hickeya określa, że osoba atakująca może wysłać wszystkie hasła za jednym razem, wyliczając każdy kod od 0000 do 9999 w jednym ciągu bez spacji. Ponieważ nie daje to żadnych przerw, procedura wprowadzania klawiatury ma pierwszeństwo przed funkcją usuwania danych urządzenia. Metoda powoduje, że czas pomiędzy kolejnymi próbami odgadnięcia hasła się zmniejsza do 3-5 sekund. Wciąż jest to monotonne zadanie, bo hasła trzeba wprowadzać ręcznie. W iOS 12 zabezpieczenia mają się jednak zmienić.
Zobacz także: W iPhonie X jest nowy dzwonek Reflection. Zobacz, jak go dodać we własnym telefonie
Źródło: ZDNet