相互RSS募集!詳細はこちら

オタコムはアニメ・ゲームなどサブカルチャー系情報の総合ブログどんなネタでも扱います!

2018年06月26日 08:30 コメントを見る

「iOSのパスコード入力回数制限が破られた」と主張する研究者、アップルに論破されてしまうwww

ワロタ

20180626074800

04

iPhoneやiPadなどのiOSデバイスには、パスコードの入力に10回失敗すると全てのデータが自動消去されるオプションがありますが、先日セキュリテイ研究家が「回数制限を回避できる脆弱性がある」との見解を発表しました。

その後アップルの広報担当は、この報告は間違っているとして、指摘された脆弱性を否定。さらに研究者本人がテスト方法が不正確で「実際に入力された回数は見た目よりも少ない」と誤りを認める旨をツイート。改めて、iOSのプライバシー保護の堅牢さが証明されたかたちです。

セキュリティ研究者のMatthew Hickey氏は、iOS 11.3の最新バージョンでもパスコード入力回数制限をバイパスできたとの研究成果を報告。その方法とは、ロックされたiPhoneやiPadにLightningケーブルを通じて4桁なら0000〜9999、6桁なら000000〜999999まで、間にスペースを挟まず連続した文字列として送り込むこと。

これは「Lightningポート経由で文字入力を送信すると、割り込み要求が開始され、デバイス上の他の処理よりも最優先される」との考えに基づくもの。

一度に1つのパスコードを送って反応を待つのではなく、全てを一度に送信することでブルートフォース(総当たり攻撃)すれば、次々とパスコードが試され、データ消去よりもロック解除が優先される……という想定です。

しかし、アップル広報担当は米AppleInsiderに、Hickey氏の主張は間違っているとの声明を送付。「iPhoneでのパスコード回避に関する最近の報告は誤りであり、誤ったテストの結果だ」と述べていたとのこと。

このアップルの言い分は、当のHickey氏のツイートによって裏付けられることに。「PIN(パスコード)入力が速すぎたため、その全てがSEP((Secure Enclave Processor、Touch IDやFace IDといったセキュリティを管理するプロセッサ)に届いたわけではなかった。受信されずにカウントされてない分もあり、デバイスへの入力回数は見た目より少ない」という主旨。

とどのつまりは「総当たり攻撃できておらず、実際の試行回数も10回未満だった」というわけです。

全米の警察や政府機関が導入しつつあるというiPhoneロック解除ツール「Graykey」もLightningポートを利用するもの。近年のiOS最新版も、こうしたLightningポートの脆弱性に対応すべく懸命な努力を続けられていることが伺えます。

iOS 11.4ベータ版ではLightningポート経由でのアクセスを制限する「USB制限モード」の存在が報告。さらにiOS 12ベータ版では、前回のロック解除から1時間経過した時点でデータアクセス不可にする設定が可能となり、より強固とされています。

もしもブルートフォースによるクラッキングが可能だったとしても、将来的には「1時間以内」という時間制限がつく可能性もあり。アップルのプライバシー保護の信念は、今後のiOSデバイスや製品にもますます反映されていくのかもしれません。

https://japanese.engadget.com/2018/06/25/ios/


コメント

1.とある名無しのオタコム2018年6月26日 08:49
▽このコメントに返信

株の空売り目的だったんじゃないの?

2.とある名無しのオタコム2018年6月26日 16:54
▽このコメントに返信

ガバガバの研究じゃねーか

コメントを投稿する

コメントを残す

※コメントの番号の前に「※」をつけると、
そのコメントに返信できます(例:※1)

おすすめサイト最新記事一覧

リツイート数ランキング

Amazonランキング

記事ランキング本日週間