ZdnetにiPhoneの認証を間違えてもデータ削除までされないケースについての興味深い記事がありました。
www.zdnet.com
記事を見ると、TwitterでPINが無制限に試行できるかも知れない事がTwitterで動画URL付きでつぶやかれているようでした。myhackerhouseというサイバーセキュリティの会社創業者が発信元のようです。
動画はこんな感じです。
vimeo.com
◆キタきつねの所感
手法としては、iPhoneに接続されたキーボード入力の方が、PINを間違ってデータを削除するモードより優先される脆弱性を突いて、例えばPIN試行をひたすら繰り返す入力をiPhoneに渡した際に、iPhoneの試行制限回数を超えてもPIN入力が出来るというもの。これを総当り攻撃(ブルートフォースアタック)で使えば、認証が意味無くなる。その様な脆弱性があるのではないかとの指摘ですが、
アップルのスポークスマンは、指摘は間違いで、テスト手法が間違っているのではないか?というコメントを出しています。
Despite several requests for comment, Apple spokesperson Michele Wyman said Saturday: "The recent report about a passcode bypass on iPhone was in error, and a result of incorrect testing."
その後のTwitterのコメントを読んでみると、総当り攻撃防止などのために、一見PIN試行がされているように見えても、実際は試行されてない(SEPに行ってない)ケースがあるようです。なので、おそらくこのテスト手法が間違っている・・・という方が正しいのかと思われます。
iOS12では機器接続の厳格化モードがあるので、この様な試行はより難しくなるようではありますが、
もしかしたら・・・FBIがロック解除で苦労したこの件や、
the01.jp
こんな問題も考えなくても良くなった?と一瞬思ったのですが。。。。そう現実は甘くないようです。
foxsecurity.hatenablog.com
更新履歴