Исследователи с помощью робота извлекли черный список PIN-кодов из iPhone

Исследователи с помощью робота извлекли черный список PIN-кодов из iPhone

Как показали результаты исследования, наличие черного списка не повышает безопасность устройства.

image

Операционная система iOS имеет встроенный черный список определенных 4-значных и 6-значных PIN-кодов. Например, iOS рекомендует не использовать 0000 или 0011, но допускает использование 0001 или 1001. Для пользователя остается тайной, какая из последовательностей внесена в черный список, и повышает ли безопасность наличие данного списка.

Исследователи безопасности Филипп Маркерт (Philipp Markert), Даниэль В. Бейли (Daniel V. Bailey), Максимилиан Голла (Maximilian Golla), Маркус Дюрмут (Markus Dürmuth) и Адам Дж. Авив (Adam J. Aviv) с помощью робота, созданного из частей конструктора LEGO и одноплатного компьютера Raspberry Pi, извлекли список заблокированных 4-значных и 6-значных PIN-кодов из смартфона iPhone.

Первой проблемой на пути экспертов стало ограничение скорости, с которой пользователь может пробовать коды, однако данная защита не действует в процессе начальной настройки устройства. Через разъем Lightning эксперты подключили к iPhone робота с видеокамерой, который эмулировал USB-клавиатуру. После ввода PIN-кода камера делала снимок экрана iPhone, а потом фотография обрабатывалась с целью определить, разрешен ли данный PIN-код или он внесен в черный список.

Как показали результаты исследования, Apple внесла в черный список 274 4-значных и 2910 6-значных PIN-кодов.

Как отметили специалисты, наличие черных списков не повышает безопасность устройства. Их объемы слишком малы, а iOS позволяет пользователям выбирать запрещенные PIN-коды.

«Наше исследование также показало, что использование 6-значных PIN-кодов не намного эффективнее 4-значных. К тому же, участники нашего исследования при рассмотрении 40 предложенных вариантов чаще всего выбирали шестизначные PIN-коды», — отметили специалисты.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle