IP-Box позволяет легко подобрать пин-код к устройствам на iOS

После заявления экспертов по информационной безопасности британской компании MDSec у адептов устройств от Apple добавилась еще одна причина для беспокойства по поводу обновления установленной на их гаджетах iOS до ее 8.2-версии.

Сообщается, что эксперты компании привлекли внимание к широко применяемому при починке ПК инструментарию IP-Box. Это устройство может быть в любой конторе, которая осуществляет срочный качественный ремонт ноутбуков и планшетов, ну а при желании его и вовсе может приобрести любой желающий. Как выяснилось, данный тулкит содержит эксплоит под индексом CVE-2014-4451, предоставляющий возможность обхода ограничения количества сеансов ввода пароля. Уязвимость имеется во всех версиях iOS вплоть до сборки 8.1.1. Эксперты пояснили, что IP-Box имитирует ввод ПИН через USB и последовательно перебирает всевозможные парольные комбинации. При этом он обесточивает устройство до того, как оно запишет информацию о неверном пин-коде в память.

При этом удаление истории попыток ввода можно произвести после 10 первых попыток через подсоединение iPhone напрямую к источнику питания и последующему обесточиванию гаджета сразу после каждого неудачного ввода кода ПИН еще до его синхронизации с флэш-памятью. А ввод каждого ПИН-кода продолжается порядка 40 секунд, что означает, что для угадывания четырехзначного кода необходимо около 111 часов.

Впоследствии эксперты собираются провести тестовую атаку на iOS-устройства, которые управляются ОС версии 8.2, ну а сейчас пользователям рекомендовано придумывать более сложные и адекватные пароли.