Sidste fredag rapporterede den uafhængige sikkerhedsforsker Matthew Hickey om muligheden for et brute force-angreb på Apple iPhone og iPad. Det handler om at vælge en adgangskode til login. Han sendte data til Apple, men der benægtede eksistensen af et problem.
Hvad vides om angrebet
En angriber kan angiveligt sende alle adgangskoder på én gang ved at angive hver enkelt - fra 0000 til 9999 - i en streng uden mellemrum. I betragtning af, at ifølge eksperten er prioriteringen af tastaturinput højere end datasletningsfunktionen, kunne dette fungere. Ifølge Psychika er dette muligt, efter at enheden er blevet bootet, fordi der i det øjeblik kører flere programmer.
Umiddelbart efter offentliggørelsen udtrykte mange eksperter tvivl om metodens effektivitet. Og nu er virksomhedens officielle kommentar dukket op. I Apple udtalte:
"Den nyligt offentliggjorte rapport om at omgå iPhone-adgangskodebeskyttelse er en fejl. Dette er resultatet af forkert test."
Læs også: Apple genkendte problemer med MacBook og Macbook Pro-tastaturer
Psyches reaktion
Det er interessant, at eksperten selv senere indrømmede fejlslutningen i sin konklusion. Som det viste sig, kontrollerede systemet ikke alle de adgangskoder, der blev sendt til det, og ignorerede "lyn"-inputtet, så alle de tidligere antagelser var forkerte.
Samtidig forsøgte hackere ved hjælp af en lignende metode at hacke en anden version af virksomhedens operativsystem. Vi taler om USB Restricted Mode-funktionen i iOS 12 (stadig i beta). Denne funktion begrænser USB-forbindelser, hvis enheden ikke er blevet låst op inden for den sidste time.
Grayshift, som udviklede GrayKey iPhone-hacking-værktøjet, hævder dog at have været i stand til at omgå brute-force-beskyttelsen. Officielle udtalelser fra Apple det er det ikke endnu, så det er ikke klart, hvor alvorligt dette problem er.
Bemærk, at Grayshift samarbejder med en række retshåndhævende myndigheder, herunder FBI. GrayKey-værktøjet, der tilbydes af hende, er i stand til at arbejde på enheder Apple, ved, hvordan man udtrækker data og vælger adgangskoder.
Kilde: SlashGear