Как показали результаты исследования, наличие черного списка не повышает безопасность устройства.
Операционная система iOS имеет встроенный черный список определенных 4-значных и 6-значных PIN-кодов. Например, iOS рекомендует не использовать 0000 или 0011, но допускает использование 0001 или 1001. Для пользователя остается тайной, какая из последовательностей внесена в черный список, и повышает ли безопасность наличие данного списка.
Исследователи безопасности Филипп Маркерт (Philipp Markert), Даниэль В. Бейли (Daniel V. Bailey), Максимилиан Голла (Maximilian Golla), Маркус Дюрмут (Markus Dürmuth) и Адам Дж. Авив (Adam J. Aviv) с помощью робота, созданного из частей конструктора LEGO и одноплатного компьютера Raspberry Pi, извлекли список заблокированных 4-значных и 6-значных PIN-кодов из смартфона iPhone.
Первой проблемой на пути экспертов стало ограничение скорости, с которой пользователь может пробовать коды, однако данная защита не действует в процессе начальной настройки устройства. Через разъем Lightning эксперты подключили к iPhone робота с видеокамерой, который эмулировал USB-клавиатуру. После ввода PIN-кода камера делала снимок экрана iPhone, а потом фотография обрабатывалась с целью определить, разрешен ли данный PIN-код или он внесен в черный список.
Как показали результаты исследования, Apple внесла в черный список 274 4-значных и 2910 6-значных PIN-кодов.
Как отметили специалисты, наличие черных списков не повышает безопасность устройства. Их объемы слишком малы, а iOS позволяет пользователям выбирать запрещенные PIN-коды.
«Наше исследование также показало, что использование 6-значных PIN-кодов не намного эффективнее 4-значных. К тому же, участники нашего исследования при рассмотрении 40 предложенных вариантов чаще всего выбирали шестизначные PIN-коды», — отметили специалисты.