Na sexta-feira passada, o pesquisador de segurança independente Matthew Hickey relatou a possibilidade de um ataque de força bruta em Apple iPhone e iPad. Trata-se de escolher uma senha para o login. Ele enviou os dados para Apple, mas não negou a existência de um problema.
O que se sabe sobre o ataque
Um invasor pode enviar todas as opções de senha de uma só vez, especificando cada uma delas — de 0000 a 9999 — em uma string sem espaços. Dado que, de acordo com o especialista, a prioridade da entrada do teclado é maior do que a função de limpeza de dados, isso pode funcionar. Segundo Psychika, isso é possível após o boot do aparelho, pois nesse momento mais programas estão rodando.
Imediatamente após a publicação, muitos especialistas expressaram dúvidas sobre a eficiência do método. E agora apareceu o comentário oficial da empresa. NO Apple declarou:
“O relatório publicado recentemente sobre contornar a proteção por senha do iPhone é um erro. Este é o resultado de testes incorretos."
Leia também: Apple problemas reconhecidos com teclados MacBook e Macbook Pro
reação de psique
É interessante que o próprio especialista mais tarde admitiu a falácia de sua conclusão. Como se viu, o sistema não verificou todas as senhas enviadas a ele, ignorando a entrada "relâmpago", então todas as suposições anteriores estavam erradas.
Ao mesmo tempo, usando um método semelhante, os hackers tentaram hackear outra versão do sistema operacional da empresa. Estamos falando do recurso USB Restricted Mode no iOS 12 (ainda em beta). Esse recurso restringe as conexões USB se o dispositivo não tiver sido desbloqueado na última hora.
No entanto, Grayshift, que desenvolveu a ferramenta de hacking GrayKey iPhone, afirma ter sido capaz de contornar a proteção de força bruta. declarações oficiais de Apple ainda não, então não está claro o quão sério é esse problema.
Observe que a Grayshift coopera com várias agências de aplicação da lei, incluindo o FBI. A ferramenta GrayKey oferecida por ela é capaz de trabalhar em dispositivos Apple, sabe como extrair dados e selecionar senhas.
fonte: SlashGear