【IT】iOSのセキュリティに脆弱性、パスコード総当たりでロック解除可能と研究者指摘

1: ムヒタ ★ 2018/06/24(日) 13:09:35.40 ID:CAP_USER

no title

iPhoneやiPadは、間違ったパスコードが10回以上入力されると端末のデータを全て削除することで、総当たりでパスワードが破られるのを防ぐ機能があります。しかし、セキュリティ研究者が、端末のデータを削除させずに総当たりでパスコードを破る方法を発見しました。

パスコード10回連続誤入力なら全データ消去
iPhoneなどiOS端末は、パスコードの安全性を高めるため、連続して10回間違ったパスコードが入力された場合、端末の全データを消去するように設定可能です。

この機能を使うには、設定アプリの「Touch IDとパスコード」メニューで「データを消去」をオン(緑色)にします。

この設定によって、4桁または6桁の数字を片っ端から入力する「ブルート・フォース(総当たり)」で、パスコードが破られて端末内のデータを盗み見される可能性はかなり低くなります。

データを消去させずにパスコードを総当たり
しかし、セキュリティ研究者でサイバーセキュリティ企業Hacker Houseの共同創業者でもあるマシュー・ヒッキー氏は、端末内のデータを消去させずにパスコードを総当たりで入力してロックを解除する様子を動画で公開しています。

ヒッキー氏はこの攻撃は、間違ったパスコード入力が10回続いた時にデータを消去する動作よりもキーボード入力操作が優先する、というiOSの仕様を突いたものと説明しています。

これは、4桁なら0000から9999までのパスコードを、間にスペースを入れないひとつの語として一気に入力することで、10回目の誤入力に対応したデータ消去処理を動作させずにパスコードの総当たりが続けられてしまう、というものです。

同氏によると、この攻撃は少なくともiOS11.3までのiOS端末で有効とのことです。

問題はAppleに報告済み
ヒッキー氏は、この脆弱性の詳細をすでにAppleに報告しており、Appleは問題解決に向けて取り組んでいる、と発言しています。
動画はソース元で
2018年6月24日 10時35分
https://iphone-mania.jp/news-216785/

4: 名刺は切らしておりまして 2018/06/24(日) 13:24:04.72 ID:k8g2Qx++
コピペすれば実現可能ってこと?

41: 名刺は切らしておりまして 2018/06/24(日) 16:46:43.21 ID:QomnZtCZ
>>4
違う

5: 名刺は切らしておりまして 2018/06/24(日) 13:29:10.96 ID:MNA6Mamj
生体認証にしてくれ

7: 名刺は切らしておりまして 2018/06/24(日) 13:37:35.67 ID:FfPByyhr
これ警察がAppleに犯罪の証拠がある可能性があるとロック解除依頼して断られた端末に有効じゃね

42: 名刺は切らしておりまして 2018/06/24(日) 16:46:56.27 ID:QomnZtCZ
>>7
無理

8: 名刺は切らしておりまして 2018/06/24(日) 13:40:11.84 ID:wTM8fcAn

Lightning指すだけのパスコード突破用の箱がウン10万で売ってたくらいだからな
あれで6桁までなら24時間以内に突破できるけど、7桁以上なら30日くらいかかるんだっけ

そもそもiOS12ではロック中に外部接続するのに認証いるからそれも1のも使えなくなるけどな

40: 名刺は切らしておりまして 2018/06/24(日) 16:46:03.65 ID:QomnZtCZ
>>8
もう使えなくなっている。

9: 名刺は切らしておりまして 2018/06/24(日) 13:40:36.27 ID:MWyyZxrF
PINじゃなくて任意桁数の英数字大文字小文字組み合わせたパスワードにしておけばいい
結局Touch ID使うんだし

43: 名刺は切らしておりまして 2018/06/24(日) 16:47:14.34 ID:QomnZtCZ
>>9
それがなんの役に立つの

11: 名刺は切らしておりまして 2018/06/24(日) 13:46:21.88 ID:gD5HdbnG
長いパスコードを無理矢理入力すれば、データ削除に権限が移る時間を稼げて、そのまま続けてパスコードが入力可能ってこと?

45: 名刺は切らしておりまして 2018/06/24(日) 16:49:07.00 ID:QomnZtCZ

>>11
違う。

そのレベルでしか理解できない奴には理解が難しい話だ。

51: 名刺は切らしておりまして 2018/06/24(日) 16:56:18.12 ID:xTYI6q6i
>>45
どう違うの?

12: 名刺は切らしておりまして 2018/06/24(日) 13:46:29.42 ID:IX4/sjJj
盗まれて困るようなものを自分のスマホに入れるなってこと
電話帳に入ってる電話番号が盗まれたところで自分のじゃないしね

13: 名刺は切らしておりまして 2018/06/24(日) 13:48:33.91 ID:you5OXkI
ロックしてる間は充電出来ないようにしたら長時間アタック回避できるだろ

46: 名刺は切らしておりまして 2018/06/24(日) 16:49:39.34 ID:QomnZtCZ
>>13
四桁の数字ならあっという間だ。

14: 名刺は切らしておりまして 2018/06/24(日) 13:56:04.86 ID:87ExJfYy

これ、大問題なんだよ

たとえば過去に紛失したり盗難にあったりした端末
それを取得したやつがこういうバグが出てくることを見越してその端末をネットにつながらない状態にして保管しておくと、
こういうバグが出たときに一気にクラックされるわけ

macでもこういう核爆弾バグがついこの前あって(I am root問題)、
とくに企業では
Apple製品は根本的に使えない、使ってるやつは情報漏えい予備軍のバカと見なされてる

47: 名刺は切らしておりまして 2018/06/24(日) 16:50:29.82 ID:QomnZtCZ
>>14
君は君の妄想と現実が違うと言うことを理解しても良いと思うが、難しいのかな?

54: 名刺は切らしておりまして 2018/06/24(日) 17:10:25.31 ID:CLOWQIBU
>>47
養護にもなっていないようだが?

15: 名刺は切らしておりまして 2018/06/24(日) 13:59:42.16 ID:4UQ/1hDx
アップルに教えてやんないで、こっそり法執行機関で共有すればいいのに。

18: 名刺は切らしておりまして 2018/06/24(日) 14:21:09.22 ID:+dUcPPI8

>>15
というよりもAppleも当局もiPhone窃盗団もみんな知ってた隠し裏口を、今回わざわざバラしちゃうやつがいたってだけだろ

もちろんこの「バグ」を修正するためにAppleはいろいろiOSを修正するから
また「新しいバグ」が入り込むだろうけど仕方ないよねwww

48: 名刺は切らしておりまして 2018/06/24(日) 16:52:22.91 ID:QomnZtCZ

>>15
お前らみたいな屠殺人ラブの豚は圧倒的少数派だからね。

アップルに連絡するよりも、法執行機関に連絡すると言う奴は少数派になるな、

残念だったね豚。せいぜい屠殺人と仲良くな。

16: 名刺は切らしておりまして 2018/06/24(日) 14:04:09.61 ID:uNQi85CM
一回間違えたら待ち時間5分とか設定させれば

19: 名刺は切らしておりまして 2018/06/24(日) 14:27:29.42 ID:txROJfVv

>>16
そしてAppleはその制限を回避できるバグを入れ込んでしまうところまでがテンプレ

こういうことやってるからApple製品は一切信用できない
オープンソースが万能とは言わないが、ソースが公開されてればおかしなことやってるソースはすぐにバレる

この点においてオープンソースでないiPhoneはあまりにも危険すぎる
Androidはその点オープンソースだから安全性は根本的に高くなる

まとな個人や企業がiPhoneは避けてAndroidを意図的に選んでるのもそのため

24: 名刺は切らしておりまして 2018/06/24(日) 14:48:30.38 ID:Xdc98i/F

>>19
オープンソースが安全とか、それこそ幻想
どんだけ問題起こしてると思っているんや

Strutsとかマジで勘弁してほしかった

26: 名刺は切らしておりまして 2018/06/24(日) 14:54:23.68 ID:tN8TA9E8

>>24
まったく反論になってない

Strutsがクローズドソースならなおさら問題が大きく長く続いた
オープンソースによる効果が確実にあることを否定する材料になっていない

はい完全論破

50: 名刺は切らしておりまして 2018/06/24(日) 16:54:15.81 ID:QomnZtCZ

>>26
現実は関係なしか。

確かにお前には何の議論も無用なようだ。

馬鹿は出てくるな。

53: 名刺は切らしておりまして 2018/06/24(日) 16:59:32.78 ID:q6fVOnho

>>26
OpenSSHとか5年くらい放置されとったけど、どうなの?

クローズドだったら10年くらい放置されてたとか?馬鹿言え

49: 名刺は切らしておりまして 2018/06/24(日) 16:53:16.33 ID:QomnZtCZ
>>19
アンドロイドとIOSのセキュリティ上の強さはお前の主張が間違っていることを示しているがな。

66: 名刺は切らしておりまして 2018/06/25(月) 00:24:13.21 ID:/6VpDpHP
お前それ>>19への反論になってないが。

17: 名刺は切らしておりまして 2018/06/24(日) 14:12:46.92 ID:eKc0mjfi

解雇されたりしたのが元同僚のに
業務妨害、データ消去を目的に
10回以上入れるとかありそうだな。

ネット銀行で、口座番号だけをログインに使ってる所は
落札者や客に、振込先として教えたりできないな。
いたずらでロックされるから。

20: 名刺は切らしておりまして 2018/06/24(日) 14:29:59.04 ID:1bdQhtuo
気にすんなすぐに修正されるだけ

25: 名刺は切らしておりまして 2018/06/24(日) 14:52:05.08 ID:tN8TA9E8

>>20
そしてまた「新しいバグ」が入り込むだけ

オープンソースではないApple製品なんてバックドア仕掛け放題だからな

27: 名刺は切らしておりまして 2018/06/24(日) 14:54:30.23 ID:Xdc98i/F
>>25
だったらクローズドな部分を含んでいるAndroidも同じだろう

29: 名刺は切らしておりまして 2018/06/24(日) 14:59:09.17 ID:tN8TA9E8

>>27
AOSPからフォークもできない雑魚アンチAndroidのお前が何を叫んでも無駄だと早く理解しろよ

あらかじめ言っておくが
この事実すら理解できないならホント救いようがない馬鹿とお前が全世界から認識されることになる

66: 名刺は切らしておりまして 2018/06/25(月) 00:24:13.21 ID:/6VpDpHP
お前それ>>29への反論になってないが。

33: 名刺は切らしておりまして 2018/06/24(日) 15:10:30.01 ID:bODf4AeD
>>27
程度の問題を無視してる涙目発狂Apple信者は気持ち悪いので出てってください

66: 名刺は切らしておりまして 2018/06/25(月) 00:24:13.21 ID:/6VpDpHP
お前それ>>27への反論になってないが。

21: 名刺は切らしておりまして 2018/06/24(日) 14:31:59.75 ID:1bdQhtuo
これそもそもロック前にキーボードがペアリグンしてないとダメじゃん

64: 名刺は切らしておりまして 2018/06/24(日) 18:49:18.69 ID:uQGhNEL5

>>21
> これそもそもロック前にキーボードがペアリグンしてないとダメじゃん

ブルーツースで入力してるのこれ?

22: 名刺は切らしておりまして 2018/06/24(日) 14:39:06.22 ID:sHIZb13t
携帯電話の中身なんか見て何をする?

55: 大島榮城 ◆n3rBZgRz6w 2018/06/24(日) 17:11:53.86 ID:hPfYFSiX

>>22
>携帯電話の中身なんか見て何をする?

連絡先、交友関係をさぐるらしい
アメリカ共和党が

30: 名刺は切らしておりまして 2018/06/24(日) 15:03:35.09 ID:cBQW8F0p
数回間違えたら時間制限くわえればいいだけだろ

32: 名刺は切らしておりまして 2018/06/24(日) 15:08:09.82 ID:jqVceZ5U
>>30

34: 名刺は切らしておりまして 2018/06/24(日) 15:27:52.21 ID:+2P1nLIH
パスコード、わいのiphone、6桁なんだけど?

35: 名刺は切らしておりまして 2018/06/24(日) 15:28:00.57 ID:w7GGfeXe
パスコードのオプションで8桁にしてある

36: 名刺は切らしておりまして 2018/06/24(日) 15:32:47.55 ID:zHnxb7UK
回数制限がなきゃ、なんだってそうじゃねえの?

37: 名刺は切らしておりまして 2018/06/24(日) 15:33:16.03 ID:x6YRY1ES

完全論破されたApple信者が話をすり替えようとしだしたな
こうやってApple製品が危険あるということがもみ消されていくんだよなぁ

Apple製品の問題をネットで挙げるだけでApple信者から攻撃されてネット血祭りにされるからね

38: 名刺は切らしておりまして 2018/06/24(日) 16:15:32.78 ID:l3XaByID
8桁くらいにしておけばいい。
みんな8桁にしてきたら9桁でもいい。

52: 名刺は切らしておりまして 2018/06/24(日) 16:57:25.01 ID:VSbGezno

4桁くらいだったら、実際に20分もかからずに入力できてしまうね
6桁で半日くらいかな

まあ実際は、表面の指紋汚れを見れば、ある程度絞り込めるんじゃないかな……
人間が一番の脆弱性です、っていう。

59: 名刺は切らしておりまして 2018/06/24(日) 17:50:03.59 ID:Ev92nq9F

そもそも総当たりさせなければいいだけだ。
自分の端末ならまちがえてもせいぜい5~6回まで。
それをすぎれば指紋認証やApple IDのIDとパスワードの両方を要求するなどすればいい。

他のサービスでも総当たりが脆弱というが
総当たりできないようにしたらいいだけなのに
エンジニアというか開発が無能なんだろう。
セキュリティの考え方が何十年も前で止まっている。

65: 名刺は切らしておりまして 2018/06/24(日) 18:58:58.30 ID:MNNL5W/s
嫌いな人のをわざと間違えてデータ前消去してあげたことある

23: 名刺は切らしておりまして 2018/06/24(日) 14:39:48.98 ID:eIsteRan
全データ消去設定とかしてるやつほぼ居ないだろ

引用元

【IT】iOSのセキュリティに脆弱性、パスコード総当たりでロック解除可能と研究者指摘

管理人からひと言

全データ消去の設定は怖くてしてません・・・

スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

フォローする