マイキー・キャンベル
· 2分で読めます
GrayKeyフォレンジックツール。| 出典: MalwareBytes
アップルは土曜日、セキュリティ研究者がiOSのパスコード保護を簡単に回避する方法を発見したとの報道に対し、この脆弱性は実際には誤ったテストの結果であると述べた。
金曜日、セキュリティ研究者のマシュー・ヒッキー氏は、iPhoneに組み込まれたブルートフォースパスコードハッキング対策を回避する方法を詳しく説明した。
ヒッキー氏によると、具体的には、ロックされたiPhoneやiPadにLightningケーブル経由でパスコードを一斉に送信すると、他のデバイス操作よりも優先される割り込み要求がトリガーされるという。このようなシナリオでは、ハッカーは0000から9999まで、あるいは6桁のパスコードの場合は000000から999999までのすべてのパスコードの組み合わせを、スペースなしの連続した文字列として入力することになる。
ヒッキー氏は、この操作可能なメカニズムにより、不正なユーザーが、間違ったパスコード入力の間に実施される遅延や、10回連続して失敗した後に保存されたデバイスデータを完全に消去するオプションなど、Appleのセキュアエンクレーブ保護を回避できると述べた。
AppleはAppleInsiderへの声明で、ヒッキー氏の主張は誤りだと述べた。
アップルは「iPhoneのパスコードバイパスに関する最近の報告は誤りであり、不正確なテストの結果であった」と述べた。
この発言はヒッキー氏のツイッター投稿によって裏付けられているようで、同氏は土曜日に当初の主張を修正し、ハッキングは当初考えられていた通りには機能しない可能性があると説明した。
「@i0n1c さんの言うことは正しいかもしれない。ピンが必ずしも SEP に送られるわけではない(ポケットダイヤルや入力が速すぎるため)ので、ピンがテストされているように見えても、必ずしも送信されているわけではなく、カウントされない。デバイスは目に見えるよりも少ないカウントを記録する」と彼はツイートした。
Apple社がヒッキー氏と連絡を取ったかどうかは不明だが、同研究者は金曜日、この表向きの脆弱性について同社に最近連絡を取ったと述べた。
ヒッキー氏は引き続きこの問題を調査しているが、彼の最初の調査結果はまだ第三者によって再現または検証されていない。
いずれにせよ、Appleは今秋のソフトウェアアップデートで、iPhoneとiPadにおけるUSB関連の脆弱性をすべて無効化しようとしている。iOS 12には、一定時間内に正しいパスコードが入力されない場合、有線USBデータ接続を無効にする「USB制限モード」が新たに搭載されている。現在のベータ版では、この制限時間は1時間となっている。
アップルによれば、この新機能は、ハッカーや、米国法と同等の国民保護を与えない政府によるiPhoneへの不当なアクセスを阻止するために設計されているという。
