Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

iPhone認証のバイパス

ZdnetiPhoneの認証を間違えてもデータ削除までされないケースについての興味深い記事がありました。

www.zdnet.com

記事を見ると、TwitterでPINが無制限に試行できるかも知れない事がTwitterで動画URL付きでつぶやかれているようでした。myhackerhouseというサイバーセキュリティの会社創業者が発信元のようです。

 

f:id:foxcafelate:20180624163658j:plain

動画はこんな感じです。

vimeo.com

◆キタきつねの所感

手法としては、iPhoneに接続されたキーボード入力の方が、PINを間違ってデータを削除するモードより優先される脆弱性を突いて、例えばPIN試行をひたすら繰り返す入力をiPhoneに渡した際に、iPhoneの試行制限回数を超えてもPIN入力が出来るというもの。これを総当り攻撃(ブルートフォースアタック)で使えば、認証が意味無くなる。その様な脆弱性があるのではないかとの指摘ですが、

アップルのスポークスマンは、指摘は間違いで、テスト手法が間違っているのではないか?というコメントを出しています。

Despite several requests for comment, Apple spokesperson Michele Wyman said Saturday: "The recent report about a passcode bypass on iPhone was in error, and a result of incorrect testing."

 

その後のTwitterのコメントを読んでみると、総当り攻撃防止などのために、一見PIN試行がされているように見えても、実際は試行されてない(SEPに行ってない)ケースがあるようです。なので、おそらくこのテスト手法が間違っている・・・という方が正しいのかと思われます。

 

iOS12では機器接続の厳格化モードがあるので、この様な試行はより難しくなるようではありますが、

もしかしたら・・・FBIがロック解除で苦労したこの件や、

the01.jp

 

こんな問題も考えなくても良くなった?と一瞬思ったのですが。。。。そう現実は甘くないようです。

foxsecurity.hatenablog.com

 

青りんごのイラスト

 

 

更新履歴

  • 2018年6月24日PM(予約投稿)