Vendredi dernier, le chercheur indépendant en sécurité Matthew Hickey a signalé la possibilité d'une attaque par force brute contre Apple iPhone et iPad. Il s'agit de choisir un mot de passe pour se connecter. Il a envoyé les données à Apple, mais il a nié l'existence d'un problème.
Que sait-on de l'attaque
Un attaquant peut apparemment envoyer toutes les options de mot de passe en même temps en spécifiant chacune d'elles - de 0000 à 9999 - dans une chaîne sans espaces. Étant donné que selon l'expert, la priorité de la saisie au clavier est supérieure à la fonction d'effacement des données, cela pourrait fonctionner. Selon Psychika, cela est possible après le démarrage de l'appareil, car à ce moment-là, plus de programmes sont en cours d'exécution.
Immédiatement après la publication, de nombreux experts ont exprimé des doutes sur l'efficacité de la méthode. Et maintenant, le commentaire officiel de la société est apparu. DANS Apple a déclaré:
"Le rapport récemment publié sur le contournement de la protection par mot de passe de l'iPhone est une erreur. C'est le résultat de tests incorrects."
Lisez aussi: Apple problèmes reconnus avec les claviers MacBook et Macbook Pro
La réaction de Psyché
Il est intéressant de noter que l'expert lui-même a admis plus tard le caractère erroné de sa conclusion. Il s'est avéré que le système n'a pas vérifié tous les mots de passe qui lui ont été envoyés, ignorant l'entrée "foudre", donc toutes les hypothèses précédentes étaient fausses.
Dans le même temps, en utilisant une méthode similaire, les pirates ont tenté de pirater une autre version du système d'exploitation de l'entreprise. Nous parlons de la fonctionnalité USB Restricted Mode dans iOS 12 (toujours en version bêta). Cette fonctionnalité limite les connexions USB si l'appareil n'a pas été déverrouillé au cours de la dernière heure.
Cependant, Grayshift, qui a développé l'outil de piratage GrayKey pour iPhone, affirme avoir été en mesure de contourner la protection contre la force brute. Déclarations officielles de Apple ce n'est pas encore le cas, donc la gravité de ce problème n'est pas claire.
Notez que Grayshift coopère avec un certain nombre d'agences d'application de la loi, y compris le FBI. L'outil GrayKey proposé par elle est capable de fonctionner sur des appareils Apple, sait extraire des données et sélectionner des mots de passe.
Source: SlashGear