無差別なパスコードハッキング

セキュリティ研究者Matthew Hickey氏が、ロックされたiOSデバイスの無防備なハッキングを阻止するために設計された10回のパスコード制限を回避する方法を明らかにしたとZDNetが報告しました

最新のiOSでは、安全なエンクレーブは複数の誤ったパスコードの試行を遅らせることによってブルートフォース攻撃を遮断することができます

ユーザーは、連続して10回失敗した後にシステムワイプを実行する機能を有効にすることで、オンボードデータをさらに保護することができます

しかし同氏は、一度に1つずつパスコードを送って待つのではなく、すべてを一度に送ると長い入力文字列でブルートフォース攻撃を送信すると、それらのすべてを処理し、データ消去機能をバイパスできる、と説明しています

Appleの声明

AppleはHickey氏の主張は、

iPhoneでのパスコードバイパスに関する最近の報告は誤りであり、誤ったテストの結果であった

と述べています

Hickey氏は、当初考えられていたハックが機能しない可能性があると説明し、Twitterへの彼の元々の主張に対する修正を掲載しました

It seems @i0n1c maybe right, the pins don't always goto the SEP in some instances (due to pocket dialing / overly fast inputs) so although it "looks" like pins are being tested they aren't always sent and so they don't count, the devices register less counts than visible @Apple

— Hacker Fantastic (@hackerfantastic) 2018年6月23日

ピンが常に送信されテストされているように “見える”しかし、ピンは常にいくつかのインスタンス（ポケットダイヤル/過度の入力のために）でSEPに行くとは限らずカウントすると、デバイスは目に見えるよりも少ないカウントを登録します

AppleがHickey氏と連絡を取ったかどうかは不明です

Hickey氏の最初の発見はまだ第三者によって複製または検証されていませんが、問題を検討し続けています

いずれにしても、アップルは今秋、今後予定されているソフトウェアアップデートで、USB関連のすべてのiPhoneとiPadの不正利用を廃止する予定です。 同社のiOS 12には、所定の時間が経過しても正しいパスコードが提供されないと、有線USBデータ接続を無効にする新しい「USB制限モード」が組み込まれています

(Via appleinsider.)