Var inte panik! Hackare har inte hittat ett sätt att kringgå gränsen för iPhone-lösenord

0 Shares

iPhone-lösenord

Ange fel lösenord i en iPhone och du nekas inte bara åtkomst till den, utan riskerar också att rensa innehållet om du anger en felaktig kod för många gånger. Det här är ett problem som brottsbekämpande myndigheter möter när de stöter på iPhones i de fall de arbetar med – liksom människor som försöker hacka sig i telefoner för onödiga syften – så det är inte konstigt att hackare ständigt försöker hitta ett sätt för att få obegränsade gissningar vid lösenord.

En hackare trodde att han hade knäckt det. Säkerhetsforskaren Matthew Hickey stolt stolt över att ha upptäckt en härligt enkel metod för att tvinga inträde på en iPhone – han publicerade till och med en video av sitt hack i aktion. Men det finns ingen anledning att få panik. Apple förklarar att “felaktig testning” gör Hickeys metod värdelös.

Se även:

Hickey gick ursprungligen till Twitter för att dela med sig av vad han trodde var otroliga resultat: ett sätt att “brute force 4 / 6digit PINs without limit” [sic]. Han publicerade en video av sitt “hack” i aktion och sa att genom att skicka alla möjliga lösenord till en iPhone som är ansluten till den samtidigt och inte lämnar tid för individuell bearbetning. Han sa: “Istället för att skicka lösenord en i taget och vänta, skicka dem alla på en gång. Om du skickar din brute-force-attack i en lång rad ingångar, kommer det att behandla dem alla och kringgå raderingsdata funktion”.

Apple iOS “Radera data” UI-glitch från Hacker Fantastic på Vimeo.

En ZDNet-artikel (sedan uppdaterad) förklarade hur bypass-hacket förmodligen fungerar:

En angripare kan skicka alla lösenord på en gång genom att räkna upp varje kod från 0000 till 9999 i en sträng utan mellanslag. Eftersom detta inte ger programvaran några pauser, har tangentbordets inmatningsrutin prioritet framför enhetens dataraderingsfunktion, förklarade han. Det betyder att attacken bara fungerar efter att enheten har startats upp, säger Hickey, eftersom det finns fler rutiner som körs.

VD för säkerhetsföretaget Antid0te UG, Stefan Esser, ifrågasatte de första resultaten och sa på Twitter:

Senare fortsatte han med att twittra:

Visst nog utfärdade Apple ett uttalande om saken, med företagets talesman Michele Wyman som sa:

Den senaste rapporten om förbikoppling av lösenord på iPhone var felaktigt och ett resultat av felaktig testning.

Det här kan verka som ett avskedande på off – och lite mer detaljer från Apple skulle verkligen inte ha gått fel här – men det verkar som om företaget kanske inte överraskar rätt.

Hickey twittrade och sa:

Han uppdaterade också beskrivningen av sin video för att göra det klart att den förbikoppling han trodde han hade hittat inte alls var en förbikoppling:

iOS har en glitch i användargränssnittet när stiften skickas som dubbletter eller för snabbt, för att förhindra oavsiktlig stiftinmatning, dessa stift testas aldrig av enheten. Den här videon visade vad som ursprungligen tros vara en bypass-exploatering för raderingsfunktionen, men SEP bearbetar faktiskt inte majoriteten av ingångs-PIN: erna på grund av den tidigare nämnda funktionen i iOS. Så även om enheten verkar bearbeta flera stift som skickas samtidigt behandlar den faktiskt bara ett mindre antal ingångar. Det betyder att bypass-attacken inte är giltig eftersom det bara verkar som om dessa stift testades.

Kort sagt, det här är goda nyheter för iPhone-ägare. Efter en liten skrämma verkar det som om lösenord är lika säkra som de någonsin har varit, och det finns ingen brute force där ute i naturen … ännu.

Bildkredit: KOKTARO / Shutterstock

0 Shares