

- iOS
- iOSデバイス
- iPhone
- タッチID
- 安全
ブラックボックスデバイスはiOS 8.1のPINをブルートフォース攻撃し、繰り返しのロックアウトとデータ消去を回避できる
2015年3月18日午前4時51分(太平洋標準時)
セキュリティ企業MDSecは、USB接続経由でパスコードを総当たり攻撃し、キーパッド入力を模倣することで、iOS 8.1までのiPhoneへのアクセスを可能にするブラックボックスデバイスをテストしています。通常、4桁のPINコードをすべて試しても、10回間違えると自動ロックアウトまたはデータ消去によって阻止されますが、このIP Boxはこれを回避します。
IP ボックスは、iPhone の電源に直接接続し、PIN 入力が失敗するたびに、その試行がフラッシュ メモリに同期される前に、積極的に電源を切ることで、この制限を回避できます。
各試行の後に、画面上の明るさのレベルを測定してホーム画面にアクセスできるかどうかを確認します。アクセスできない場合は、PIN カウンターが更新されないほど高速に電話を再起動します。
これは現実世界ではあまり実用的な攻撃手段ではありません。毎回試行するたびに電話を再起動すると、すべてのPINをテストするのに約111時間かかり、アクセスに平均約55時間かかります。この55時間の間、電話に物理的にアクセスでき、所有者が「iPhoneを探す」を使って遠隔消去するのを防ぐには、その間電話がネットワークに一切アクセスできないようにする必要があります。しかし、これは興味深い概念実証です。
AppleはiOS 8.1.1でこの脆弱性を修正したようだが、キットを販売している企業は、このバージョンのiOSとは互換性がないと指摘している。
心配する必要はありませんが、複雑なパスコードを使用することをお勧めします。最近のiPhoneでは、ほとんどの場合Touch IDを使用するので、それほど大きな負担にはなりません。「設定」>「Touch IDとパスコード」と進み、「簡単なパスコード」のスイッチをオフにしてください。