Устройство имитирует ввод PIN-кода через USB-соединение и последовательно производит подбор всевозможных вариантов пароля.
У поклонников гаджетов от Apple появилось больше причин для беспокойства и поводов для обновления операционной системы iOS до версии 8.2 в свете недавнего сообщения специалиста британской ИБ-компании MDSec Доминика Челла (Dominic Chell).
Эксперт привлек внимание к инструменту IP-Box, широко используемому в индустрии, связанной с починкой компьютеров. Как оказалось, устройство эксплуатирует уязвимость CVE-2014-4451 , позволяющую удаленному пользователю обойти ограничение на максимальное количество попыток ввода пароля. Брешь существует во всех версиях iOS до 8.1.1.
Как поясняет специалист, устройство имитирует ввод PIN-кода через USB-соединение и последовательно производит подбор всевозможных вариантов пароля. IP-Box позволяет обойти ограничение «Удаление данных после 10 попыток» путем подсоединения непосредственно к источнику питания iPhone и агрессивного обесточивания устройства после каждой неудачной попытки ввода PIN-кода, но до того, как произойдет синхронизация кода с флэш-памятью. Таким образом, ввод каждого PIN-кода занимает приблизительно 40 сек. Это значит, что для подбора 4-х значного пароля понадобится порядка 111 часов.
Не исключено, что проблема может затрагивать только устройства, работающие под управлением версий iOS ниже 8.1.1. В дальнейшем эксперты планируют провести подобную тест-атаку на устройства на базе iOS 8.2, а пока пользователям рекомендуется применять более адекватные и сложные пароли для защиты своих девайсов.
Гравитация научных фактов сильнее, чем вы думаете