iPhone、iPadのパスコードを迂回しハッキングに成功
iOS11.3のiPhoneとiPadsでセキュリティ研究者による、パスコードを迂回しハッキングするデモンストレーションが公開されました。
セキュリティ研究者であり、サイバーセキュリティ業界のハッカーハウスの共同設立者でもあるMatthew Hickey氏は、セキュリティ制限を回避し、iOS 11.3を搭載したiPhone、iPadのパスコードを入力できるようになる可能性があるとtweetした。
iPhoneやiPadは、間違った10個のパスコードを超えると、その内容を消去するようにデバイスを設定することができます。
Hickeyは、そのことを回避する方法を見つけたと語っています。
彼は、iPhoneまたはiPadが接続され、ハッカーがキーボード入力を送信すると、デバイス上の他の何よりも優先される割り込み要求をトリガすることを説明しました。
「一度に1つのパスコードを送信して待つのではなく、すべてを一度に送信する」と彼は語っています。
「長い入力文字列でブルートフォース攻撃を送信すると、それらのすべてを処理し、データ消去機能をバイパスします」と彼は説明します。
Appleはハッキングを否定するも、理由は明かさず。
Appleの広報担当者Michele Wyman氏は、いくつかのコメントがあったにもかかわらず、土曜日に次のように語った。
「iPhoneでのパスコードバイパスに関する最近の報告は間違っており、誤ったテストの結果です。」
Appleはハッキングされたことを否定するものの、彼がツイートする前に会社に報告したHickeyの調査結果に異議を唱えた理由を言わなかったことが明らかになりました。
金曜日、ヒッキーの調査結果は、ユーザーの可能なパスコードのすべての組み合わせを一度に送ることができると主張し、0000から9999までの各コードを列挙し、スペースを含まない1つの文字列で結果を連結することによってハッキングすることができると語っています。
彼は、このハッキング方法であればソフトウェアに何らの障害も与えないので、キーボードの入力ルーチンがデバイスのデータ消去機能より優先されるため、データ消去機能を迂回することができると説明しました。
しかし、Hickeyは後でつぶやき、テストされたすべてのパスコードが、ブルートフォース攻撃からデバイスのロック解除プロセスに送信されるわけではないと言った。
「パスコード連結による、ブルートフォース攻撃は入力スピードが過度に速いために、常にiPhone、iPadのロック解除プロセスに移動するとは限りません。そのため、パスコードがテストされているように見えますが、必ずしもそうではありません。デバイスは目に見えるよりも少ないカウントを試行している。」と彼はつぶやいた。
ヒッキーはStefan Esserの助けを得たと信じています。
「私はすべてのコードとテストを二重チェックして戻った」と、土曜日のメッセージでヒッキーは語っています。
「電話にコードを送信すると、20個以上が入力されているように見えるが、実際には4個または5個のピンを送信してチェックするだけだ」
アップルは、今後のiOS 12アップデートで、USB制限モードと呼ばれる新機能をリリースしている。
これは、警察やハッカーが人のデバイスやデータにアクセスするのがはるかに難しいと言われている。
自分たちができる対策はなに?
iPhoneやiPad、もしくはそれ以外のコンピューター全てに言えることですが、必ず何かしらのバグを持っています。
このバグを修正するのが、アップデートになります。
こうしたハッキングの方法は日夜更新され続け、最新のOSでもハッキングされてしまいます。
そのため、メーカーは常にOSのアップデートプログラムを提供します。
ただ、サポートが充実していないメーカーはアップデートプログラムを提供しない場合もあるので注意が必要です。
アップデートサポートがしっかりしているメーカーを選ぶようにしましょう。
もし、OSをアップデートしないと悪意のある第三者からデバイスがハッキングされ、個人情報、位置情報、クレジットカード情報やカメラ機能などを勝手に使われてしまう可能性があります。
まず、第一にやらなければならないことは、OSのアップデートです。
iPhone、iPadを含むコンピューターは買ったら終わりではなく、使い続ける限り、アップデートし続ける必要があります。
今後、IoTがさらに普及する中で、家の中にある家電の全てがインターネットに接続されるでしょう。
そうした世界では、常にハッキングと背中合わせの世界に住むことになります。
家の鍵をしっかりと書けるように、プログラムもアップデートを行うように意識していく必要があります。
Source:ZDNet
