ITトレンドニュース

２０１８年６月２６日にAppleが、iOSの欠陥によりセキュリティ機能を回避してパスコードを総当たりできる脆弱性について、誤りであると指摘していることが明らかとなりました。

iOSの脆弱性を突いたパスワードの総当たり攻撃とは

iOSには、パスワードを連続で１０回間違えるとディバイスへ制限をかける機能が備わっております。

iOSディバイスのパスワードの総当たり攻撃とは、セキュリティ研究者がディバイスへの制限を回避したことで有名となった１件として知られております。

セキュリティ研究者によると、パスコードを１０回間違えても、制限がかかる前にキーボード入力を行うことで、連続してパスコードを入力することができると指摘している。

そのため、0000〜9999まですばやく入力していくことで、パスワードの総当たりを行うことができるようだ。

なお、総当たりが可能なバージョンは、「iOS 11.3」までのiOSディバイスで有効であると報告されております。

Apple、iOSのテスト方法は不完全であると指摘

Appleは、パスワードの総当たり攻撃に対して、「不正確なテストであり、間違ったもの」であると指摘している。

これに対し、セキュリティ研究者であるヒッキー氏は、テスト方法に誤りがあったことを認めております。

ヒッキー氏によると、iOSでは意図しない操作や早すぎる入力があった場合にパスコードはSEP（Secure Enclave Processor）ことデータ保護を行うコプロセッサへ送られないとコメントしている。

すべてのパスコードが試されているように見えても、実際にはカウントされていないものもあり、iOS端末は見た目よりも少ないパスコードをカウントしているようですと続けている。

iOS 12からはロック後１時間でLightningケーブル通信が不可能になる

Appleが、デベロッパー向けに公開している「iOS 12 bate」では、ロック後１時間経過すると、Lightningケーブルによるデータ通信が不可能になる機能が追加されております。

この機能は、「USB制限モード」と呼ばれており、LightningケーブルでPCを繋いで行うクラッキングが事実上できなくなるというものだ。

近年では、iOSを対象としたパスコードのロック解除装置が公開されているが、あくまでもユーザーのプライバシーを守るための機能であり、捜査機関の業務を妨害する意図はないと付け加えております。

しかし、「USB制限モード」はGrayShiftが開発したロック解除装置への対応策であることが明白であるが、すでに「USB制限モード」を対策済みであることを発表している。

 ITトレンドニュース  1 share

Grayshift、iPhoneのロック解除装置にてiOS 12に対応済みであると発表

https://news-coffee.com/2018/06/16/grayshift%e3%80%81iphone%e3%81%ae%e3%83%ad%e3%83%83%e3%82%af%e8%a7%a3%e9%99%a4%e8%a3%85%e7%bd%ae%e3%81%ab%e3%81%a6ios-12%e3%81%ab%e5%af%be%e5%bf%9c%e6%b8%88%e3%81%bf%e3%81%a7%e3%81%82%e3%82%8b/

2018年6月16日にGrayshiftが、iPhoneのロック解除を行う装置にて、すでに「iOS 12」を対象とした対策を取っていることを発表しました。  同装置は、1時間でiP...

GrayShiftの発表は、ハッタリであると評価されておりますが、「iOS 12」が公開されるまで定かではありません。

[ZDNet]