Η βρετανική εταιρεία ασφάλειας IT-Governance, δια μέσω του Neil Ford, αναφέρει ότι κυκλοφορεί μια νέα συσκευή στην αγορά (IP Box) που ισχυρίζεται ότι μπορεί να σπάσει τον κωδικό pin ενός iPhone σε λιγότερο από 17 ώρες. Το βίντεο μάλιστα που παρουσιάζει η ιστοσελίδα δείχνει πώς ο καθένας μπορεί εύκολα με μια επίθεση brute-force να παραβιάσει την lockscreen του iOS.
Το βίντεο έγινε από μια άλλη εταιρεία ασφαλείας που ονομάζεται MDSec, και η οποία δοκίμασε τη συσκευή στα εργαστήρια τους. Επιβεβαίωσε ότι η συσκευή μπορεί πραγματικά να σπάσει τον τετραψήφιο κωδικό PIN του iPhone. Η μικροσκοπική συσκευή μπορεί να αγοραστεί online για λιγότερο από 250 δολάρια. Θα χρειαστεί δε λίγο περισσότερο από μισή μέρα για να σπάσει έναν κωδικό σύμφωνα με την MDSec, η οποία πιστεύει ότι η συσκευή εκμεταλλεύεται μια γνωστή ευπάθεια ασφαλείας στο iOS 8.1 (CVE-2014-4451).
“Η περαιτέρω έρευνα υποδεικνύει ότι θα μπορούσε να είναι το θέμα που περιγράφεται λεπτομερώς στην ευπάθεια CVE-2014-4451, αλλά αυτό δεν έχει ακόμη επιβεβαιωθεί,” αναφέρει ο Neil Ford στο αναλυτικό άρθρο για τη συσκευή IP Box, η οποία προφανώς χρησιμοποιείται από πολλά καταστήματα επισκευής τηλεφώνων.
“Σχεδιάζουμε να δοκιμάσουμε την ίδια επίθεση σε μια συσκευή με 8.2 και θα σας ενημερώσουμε για την πρόοδό μας. Εν τω μεταξύ, η συμβουλή μας προς όλους είναι να βεβαιωθούν ότι χρησιμοποιούν ένα αρκετά σύνθετο κωδικό πρόσβασης στη συσκευή τους και όχι ένα PIN.”
Γνωρίζουμε ότι το iPhone σβήνει μετά από 10 αποτυχημένες προσπάθειες “σπασίματος” του PIN, αλλά το IP Box το προσπερνάει, σβήνοντας το iPhone μετά από κάθε αποτυχημένη προσπάθεια PIN. Τα iPhone που τρέχουν με iOS 8.1.1 ή νεότερη έκδοση δεν επηρεάζονται από την ευπάθεια κατά τη στιγμή της συγγραφής.
Το IP Box λειτουργεί και στα iPads. Γι ‘αυτό συνιστούμε να αναβαθμίσετε άμεσα στην τελευταία έκδοση του λειτουργικού συστήματος.
Περισσότερες λεπτομέρειες, με εικόνες και βίντεο μπορούν να βρεθούν στο άρθρο της MDSec.