IP-Box позволяет обойти ограничения на максимальное количество попыток ввода пароля в iOS-устройствах

image

Теги: пароль, iOS, уязвимость, эксплуатация

Устройство имитирует ввод PIN-кода через USB-соединение и последовательно производит подбор всевозможных вариантов пароля.

У поклонников гаджетов от Apple появилось больше причин для беспокойства и поводов для обновления операционной системы iOS до версии 8.2 в свете недавнего  сообщения  специалиста британской ИБ-компании MDSec Доминика Челла (Dominic Chell).

Эксперт привлек внимание к инструменту IP-Box, широко используемому в индустрии, связанной с починкой компьютеров. Как оказалось, устройство эксплуатирует уязвимость  CVE-2014-4451 , позволяющую удаленному пользователю обойти ограничение на максимальное количество попыток ввода пароля. Брешь существует во всех версиях iOS до 8.1.1.

Как поясняет специалист, устройство имитирует ввод PIN-кода через USB-соединение и последовательно производит подбор всевозможных вариантов пароля. IP-Box позволяет обойти ограничение «Удаление данных после 10 попыток» путем подсоединения непосредственно к источнику питания iPhone и агрессивного обесточивания устройства после каждой неудачной попытки ввода PIN-кода, но до того, как произойдет синхронизация кода с флэш-памятью. Таким образом, ввод каждого PIN-кода занимает приблизительно 40 сек. Это значит, что для подбора 4-х значного пароля понадобится порядка 111 часов.

Не исключено, что проблема может затрагивать только устройства, работающие под управлением версий iOS ниже 8.1.1. В дальнейшем эксперты планируют провести подобную тест-атаку на устройства на базе iOS 8.2, а пока пользователям рекомендуется применять более адекватные и сложные пароли для защиты своих девайсов.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.