ENG

17.03.2015

IP-Box позволяет обойти ограничения на максимальное количество попыток ввода пароля в iOS-устройствах

Устройство имитирует ввод PIN-кода через USB-соединение и последовательно производит подбор всевозможных вариантов пароля.

У поклонников гаджетов от Apple появилось больше причин для беспокойства и поводов для обновления операционной системы iOS до версии 8.2 в свете недавнего сообщения специалиста британской ИБ-компании MDSec Доминика Челла (Dominic Chell).

Эксперт привлек внимание к инструменту IP-Box, широко используемому в индустрии, связанной с починкой компьютеров. Как оказалось, устройство эксплуатирует уязвимость CVE-2014-4451, позволяющую удаленному пользователю обойти ограничение на максимальное количество попыток ввода пароля. Брешь существует во всех версиях iOS до 8.1.1.

Как поясняет специалист, устройство имитирует ввод PIN-кода через USB-соединение и последовательно производит подбор всевозможных вариантов пароля. IP-Box позволяет обойти ограничение "Удаление данных после 10 попыток" путем подсоединения непосредственно к источнику питания iPhone и агрессивного обесточивания устройства после каждой неудачной попытки ввода PIN-кода, но до того, как произойдет синхронизация кода с флэш-памятью. Таким образом, ввод каждого PIN-кода занимает приблизительно 40 сек. Это значит, что для подбора 4-х значного пароля понадобится порядка 111 часов.

Не исключено, что проблема может затрагивать только устройства, работающие под управлением версий iOS ниже 8.1.1. В дальнейшем эксперты планируют провести подобную тест-атаку на устройства на базе iOS 8.2, а пока пользователям рекомендуется применять более адекватные и сложные пароли для защиты своих девайсов.

Источник:
securitylab.ru

Возврат к списку

Обратный звонок