Apple släpper iOS 11.4.1 med blockering av lösenordssprickning – som enkelt kan kringgås med ett tillbehör som de säljer

0 Shares

iPhone-lösenord

Apple arbetar för närvarande på iOS 12, men det driver fortfarande ut uppdateringar för iOS 11. Som lovat för bara några veckor sedan syftar en ny uppdatering till att blockera användningen av iPhone-lösenordssprickningsverktyg, som de som används av brottsbekämpning . Men plåstret har redan visat sig vara bristfälligt.

Den senaste uppdateringen till iOS introducerar ett nytt USB-begränsat läge som ska förhindra att blixtporten på en iPhone eller iPad används för att överföra data en timme efter att enheten är låst. Säkerhetsforskare upptäckte dock att det är möjligt att kringgå denna säkerhetsfunktion genom att ansluta ett “opålitligt USB-tillbehör” – och Apple säljer en sådan enhet för bara 39 dollar.

Se även:

Apple berättar om den nya säkerhetsfunktionen i den senaste uppdateringen och säger: “Från och med iOS 11.4.1, om du använder USB-tillbehör med din iPhone, iPad eller iPod touch, eller om du ansluter enheten till en Mac eller PC, kan behöva låsa upp din enhet för att den ska känna igen och använda tillbehöret. Ditt tillbehör förblir sedan anslutet, även om din enhet därefter låses. “

Företaget tillägger:

Om du inte först låser upp din lösenordsskyddade iOS-enhet – eller om du inte har låst upp den och anslutit den till ett USB-tillbehör under den senaste timmen – kommunicerar din iOS-enhet inte med tillbehöret eller datorn, och i vissa fall fall, kanske det inte laddas. Du kan också se en varning som ber dig att låsa upp din enhet för att använda tillbehör.

I teorin bör detta blockera användningen av lösenordssprickningsverktyg. Men vad som är bra i teorin är inte nödvändigtvis bra i praktiken. Med inget annat än en blixt till USB 3-kameraadapter – tillgänglig för köp direkt från Apple – kan du förhindra att USB-begränsat läge sparkar in.

Säkerhetsfelet upptäcktes av forskare på ElcomSoft som förklarar:

Vi utförde flera tester och kan nu bekräfta att USB-begränsat läge upprätthålls genom att starta om och att programvaran återställs via återställningsläge. Med andra ord har vi inte hittat något uppenbart sätt att bryta USB-begränsat läge när det redan är inkopplat. Vi upptäckte dock en lösning som råkar fungera precis som vi föreslog i maj.

Forskare Oleg Afonin fortsätter med att säga:

Vad vi upptäckte är att iOS kommer att återställa nedräkningstimern för USB Restrictive Mode även om man ansluter iPhone till en opålitlig USB-tillbehör, en som aldrig har parats ihop med iPhone tidigare (ja, faktiskt tillbehören kräver inte parning alls). Med andra ord, när polisen tar en iPhone, skulle han eller hon omedelbart behöva ansluta den iPhone till ett kompatibelt USB-tillbehör för att förhindra att USB-begränsat läge låses efter en timme. Det är viktigt att det bara hjälper om iPhone fortfarande inte har gått in i USB-begränsat läge.

De flesta (om inte alla) USB-tillbehör passar syftet – till exempel Lightning to USB 3 Camera Adapter från Apple.

Afonin konstaterar att det uppenbara kryphålet är “förmodligen inget annat än en tillsyn”, men det är en ganska viktig tillsyn med tanke på hur mycket buller Apple gjorde om den nya säkerhetsfunktionen i första hand. Kommer en annan uppdatering att skjutas ut för att lösa problemet? Vi får bara vänta och se.

Bildkredit: KOKTARO / Shutterstock

0 Shares