Generale

Nova greška koju je otkrio istraživač sigurnosti omogućava hakiranje iPhone lozinke


Istraživač sigurnosti otvorio je u petak svoj Twitter nalog kako bi otkrio grešku na iOS uređajima koja može omogućiti zaobilaženje lozinki putem napada grubom silom. Video demonstracija dovela je do toga da se Apple povukao i nazvao nalaz "greškom".

Onemogućavajući zahtjev za prekidom

Suosnivač firme za cyber sigurnost Hacker HouseMatthew Hickey objavio je video gdje je izložio metodu koja mu je omogućila unos neograničenog broja lozinki čak i na najnoviju verziju iOS-a 11.3. U normalnim okolnostima, uređaj je postavljen da briše sav svoj sadržaj nakon deset pogrešnih pokušaja.

Međutim, Hickey je otkrio da bi, ako su iPhone ili iPad priključeni, bilo koji ulaz na tastaturi pokrenuo opasan i onemogućavajući zahtjev za prekidom. To je, prema riječima stručnjaka, značilo da slanje gomile lozinki odjednom može zaobići mogućnost brisanja.

"Umjesto da lozinku šaljete jednu po jednu i čekate, pošaljite ih sve u jednom potezu. Ako svoj brutalni napad pošaljete u jednom dugom nizu ulaza, on će ih sve obraditi i zaobići značajku brisanja podataka," objasnio je.

Apple IOS <= 12 Erase Data bypass, jako testiran sa iOS11, brute force 4/6-cifreni PIN-ovi bez ograničenja (složene lozinke YMMV) https://t.co/1wBZOEsBJl - demonstracija eksploatacije u akciji.

- Hacker Fantastic (@hackerfantastic) 22. juna 2018

Glasnogovornik Applea Michele Wyman osporio je tvrdnje istraživača u subotu. "Nedavno izvješće o zaobilaženju lozinke na iPhoneu bilo je greškom i rezultat je netačnog testiranja," rekla je.

Međutim, kompanija nije pružila više informacija o tome zašto je demonstracija bila pogrešna. Umjesto toga, sam Hickey je kasnije tweetao kako je shvatio da nisu sve testirane lozinke poslane na uređaj.

Otkrivanje testiranja!

"[Pristupne šifre] ne idu uvijek u [sigurni procesor enklave] u nekim slučajevima - zbog džepnog biranja [ili] prebrzih ulaza - pa iako 'izgleda' kao da se igle testiraju, one nisu uvijek poslati i tako se ne broje, uređaji registriraju manje brojeva nego što je vidljivo ", rekao je.

Dalje je Hickey objasnio da je dvaput provjerio svoj postupak i otkrio da "kada sam poslao kodove na telefon, čini se da se unosi 20 ili više, ali u stvarnosti, on samo šalje četiri ili pet pinova na provjeru." Tada bi ova mjera zaista zaštitila telefone od napada grubom silom.

Vijest bi trebala razočarati agencije za provođenje zakona koje su u prošlosti pristupale iPhone podacima neumornim unosom različitih lozinki i navodno su bile frustrirane najnovijim Apple-ovim brisanjem sigurnosnih mjera. Izdanje iOS-a 12 koje je zakazano kasnije ove godine također će se dodatno ometati u njihovim istražnim naporima.

Najnoviji uređaj sadržavat će novu značajku nazvanu Ograničeni način rada koja će ograničiti pristup USB-a na iOS uređajima nakon što su iPhone ili iPad zaključani na jedan sat. Ako ne pukne u prvih 60 minuta, uređaj će sada u osnovi postati crna kutija. Tako dugo hakeri!


Pogledajte video: HOW TO GET RID OF SCREEN TIME IT WORKEDon ios (Novembar 2021).