Przynajmniej twój telefon nie ma luk w obronie. Rzekomy atak na iPhone'a jednak nie działa
Nie musicie wyrzucać przez okno swojego smartfona. Informacje o nowej metodzie na odblokowywanie iPhone'a okazały się nieprawdziwe.
Drodzy użytkownicy Apple'a, możecie odetchnąć z ulgą. Wbrew temu, czego mogliście się dowiedzieć z internetu w weekend, nikt nie przedrze się z łatwością przez blokadę ekranu waszego iPhone’a. Doniesienia o nowym sposobie hakowania waszych telefonów były nieco na wyrost.
Bardzo dużo znaków za jednym zamachem, czyli jak miało się odblokowywanie iPhone'a.
Matthew Hickey (vel Hacker Fantastic) w piątek na swoim Twitterze pokazał światu jak łatwo, długo i przyjemnie odblokować telefony Apple’a.
Apple IOS <= 12 Erase Data bypass, tested heavily with iOS11, brute force 4/6digit PIN's without limits (complex passwords YMMV) https://t.co/1wBZOEsBJl - demo of the exploit in action.
— Hacker Fantastic (@hackerfantastic) 22 czerwca 2018
Sprawa jest banalnie prosta. Do telefonu trzeba jedynie podłączyć kabel Lightning i za jego pomocą wysłać do telefonu wszelkie możliwe kombinacje pinów w jednym ciągu znaków. Fragmenty ciągu miały być automatycznie odczytywane jako potencjalne hasło, ale kasowanie wszystkich danych po wprowadzeniu 10 błędnych kodów nie zostaje uruchomione.
Metoda ta zyskiwała wiarygodność przez o ironio, zapowiedź samego Apple’a. Firma ogłosił na tegorocznej konferencji, że w iOS 12, jeśli telefon będzie zablokowany przez dłużej niż godzinę, nie będzie można do niego podłączyć kabla USB. Wiadomo, że korzystając z tego portu, do telefonów dostają się firmy Cellebrite i Grayshift, z których usług korzysta amerykańska policja. Czyli metoda na USB istnieje. Tylko że to nie ona.
W sprawie wypowiedział się nawet Apple. Firma potwierdziła, że metoda nie działa. Zawiodło nieprawidłowe testowanie.
Na szczęście dla miłośników nadgryzionych jabłek haker się pomylił. Winę za to ponoszą mieszane sygnały graficzne wysyłane przez telefon, który zachowywał się, jakby rzeczywiście wprowadzano do niego co chwila błędne hasło. Na szczęście okazało się, że telefon robi hakującego w konia, a w rzeczywistości ciąg znaków był traktowany jako jedna próba.
Zawiodła przede wszystkim metodyka. Hickey z niecierpliwością wprowadzał swój PIN ręcznie, zamiast czekać, aż telefon się odblokuje. iPhone traktował tę próbę jako drugą i bez problemu udzielał dostępu do telefonu, mimo że pokazywał, jak wcześniej testuje wiele innych kodów.
W poniedziałek po spektakularnej porażce naszej reprezentacji posiadacze Apple'a mogą się pocieszać, że przynajmniej ich telefon nie ma dziur w obronie.