В минулу п’ятницю незалежний дослідник в галузі безпеки Метью Хікі повідомив про можливості брутфорс-атаки на Apple iPhone і iPad. Мова йде про підбір пароля на вхід. Він відправив дані в Apple, але там спростували наявність проблеми.
Що відомо про атаку
Повідомляється, що зловмисник може відправити всі варіанти пароля за один раз, вказавши кожен — з 0000 до 9999 — у рядок без пробілів. Враховуючи, що, за словами експерта, пріоритет введення з клавіатури вище, ніж функція стирання даних, це може спрацювати. За словами Психіки, це можливо після того, як пристрій було завантажено, адже у цей момент працює більше програм.
Відразу після публікації, багато експертів висловили сумнів у працездатності методу. А тепер з’явився і офіційний коментар компанії. В Apple заявили:
«Нещодавно опублікований звіт про обході парольного захисту на iPhone є помилкою. Це результат неправильного тестування».
Читайте також: Apple визнала проблеми з клавіатурами MacBook і Macbook Pro
Реакція Психіки
Цікаво, що експерт і сам потім визнав помилковість свого висновку. Як виявилося, система не перевіряла всі надіслані їй паролі, ігноруючи «блискавичне» введення, так що всі попередні допущення були невірними.
При цьому аналогічним методом хакери смоли зламати іншу версію ОС компанії. Мова йде про функції USB Restricted Mode в iOS 12 (поки що в бета-версії). Ця функція обмежує підключення по USB, якщо пристрій не було розблоковано протягом останньої години.
Однак компанія Grayshift, яка розробила інструмент злому GrayKey для iPhone, стверджує, що змогла обійти захист брутфорсом. Офіційних заяв від Apple поки не було, тому неясно, наскільки серйозна ця проблема.
Зазначимо, що Grayshift співпрацює з низкою правоохоронних органів, включаючи ФБР. Пропонований нею інструмент GrayKey здатний працювати на пристроях Apple, уміє витягувати дані і підбирати паролі.
Джерело: SlashGear