Afgelopen vrijdag rapporteerde onafhankelijk veiligheidsonderzoeker Matthew Hickey over de mogelijkheid van een brute force-aanval op Apple iPhone en iPad. Het gaat om het kiezen van een wachtwoord om in te loggen. Hij stuurde de gegevens naar Apple, maar daar ontkende het bestaan van een probleem.
Wat is er bekend over de aanslag
Een aanvaller kan naar verluidt alle wachtwoordopties in één keer verzenden door ze allemaal op te geven — van 0000 tot 9999 — in een reeks zonder spaties. Aangezien volgens de expert de prioriteit van toetsenbordinvoer hoger is dan de functie voor het wissen van gegevens, zou dit kunnen werken. Volgens Psychika kan dat nadat het toestel is opgestart, omdat er op dat moment meer programma's draaien.
Meteen na publicatie uitten veel experts hun twijfels over de efficiëntie van de methode. En nu is de officiële opmerking van het bedrijf verschenen. IN Apple verklaarde:
“Het onlangs gepubliceerde rapport over het omzeilen van iPhone-wachtwoordbeveiliging is een vergissing. Dit is het resultaat van onjuist testen."
Lees ook: Apple erkende problemen met MacBook- en Macbook Pro-toetsenborden
Psyches reactie
Het is interessant dat de deskundige later zelf toegaf dat zijn conclusie onjuist was. Het bleek dat het systeem niet alle verzonden wachtwoorden controleerde en de "bliksem"-invoer negeerde, dus alle eerdere aannames waren verkeerd.
Tegelijkertijd probeerden hackers met een vergelijkbare methode een andere versie van het besturingssysteem van het bedrijf te hacken. We hebben het over de USB Restricted Mode-functie in iOS 12 (nog in bèta). Deze functie beperkt USB-verbindingen als het apparaat het afgelopen uur niet is ontgrendeld.
Grayshift, die de GrayKey iPhone-hacktool heeft ontwikkeld, beweert echter de brute-force-beveiliging te hebben kunnen omzeilen. Officiële verklaringen van Apple dat is nog niet gebeurd, dus het is niet duidelijk hoe ernstig dit probleem is.
Merk op dat Grayshift samenwerkt met een aantal wetshandhavingsinstanties, waaronder de FBI. De door haar aangeboden GrayKey-tool kan op apparaten werken Apple, weet hoe gegevens te extraheren en wachtwoorden te selecteren.
bron: SlashGear