Een beveiligingsonderzoeker heeft een manier gevonden om een wachtwoord bruut te forceren op een huidig iOS-apparaat. Door dit te doen, kon hij de beveiligingsmechanismen voor iOS omzeilen, waardoor gecodeerde gegevens volgens ZDNet in gevaar kwamen.
Bijwerken: Apple heeft de volgende verklaring afgelegd aan Rene Ritchie:
Het recente rapport over een toegangscode-bypass op de iPhone was fout en was het resultaat van onjuiste tests.
Sinds 2014 en iOS 8 worden iPhones en iPad geleverd met apparaatcodering. Beschermd door een vier- of zescijferige toegangscode, heeft de combinatie van software en hardware het bijna onmogelijk gemaakt om in te breken in een iPhone of iPad. Misschien nog belangrijker, nadat iemand 10 keer een verkeerd wachtwoord op een apparaat heeft ingevoerd, worden zijn gegevens gewist.
Matthew Hickey van Hacker House bedacht een manier om de tijdslimiet van 10 te omzeilen en zoveel codes in te voeren als nodig. Zoals hij opmerkte: "Een aanvaller heeft alleen een ingeschakelde, vergrendelde telefoon en een Lightning-kabel nodig."
Zoals ZDNet uitlegt:
Normaal gesproken zijn iPhones en iPads beperkt in hoe vaak een toegangscode per minuut kan worden ingevoerd. Nieuwere Apple-apparaten bevatten een 'veilige enclave', een onderdeel van de hardware dat niet kan worden gewijzigd, dat het apparaat beschermt tegen brute-force aanvallen, zoals het invoeren van zoveel mogelijk toegangscodes. De beveiligde enclave houdt bij hoeveel onjuiste pincodepogingen zijn ingevoerd en reageert trager bij elke mislukte poging.
Hickey heeft daar een oplossing voor gevonden. Hij legde uit dat wanneer een iPhone of iPad is aangesloten en een aspirant-hacker toetsenbordinvoer verzendt, dit een interruptverzoek activeert, dat voorrang heeft op al het andere op het apparaat.
Hier is een demo:
Hickey heeft van zijn kant al Apple details over de bug gemaild, waarin hij uitlegde: "Ik vermoed dat anderen het zullen vinden - of al hebben gevonden."
Wanneer beveiligingslekken in iOS worden ontdekt, is Apple relatief snel in het vinden van een oplossing. Helaas duurt het niet lang voordat er iets anders wordt ontdekt. Alleen deze maand werd bijvoorbeeld gemeld dat Apple een maas in de wet sloot waardoor wetshandhavers en hackers iPhones konden kraken. Ongetwijfeld zal een nieuwe oplossing binnenkort worden geperfectioneerd.
