Apple ontkent nieuwe manier om pincodelimiet iPhone te omzeilen [update]
Update 24 juni: Apple ontkent dat de iPhone op deze manier gemakkelijk te omzeilen is en zegt dat de test niet goed is uitgevoerd. “The recent report about a passcode bypass on iPhone was in error, and a result of incorrect testing,” zegt Apple in een reacties. Hickey paste daarna zijn oorspronkelijke beweringen aan en geeft uit dat de hack mogelijk niet zo werkt als hij aanvankelijk had gedacht. Soms lijkt het alsof de pincodes getest worden, maar worden ze niet naar de processor van de Secure Enclave gestuurd. De toestellen registreren daardoor minder pogingen dan in werkelijkheid het geval is.
Het is onduidelijk of Hickey daarover nog contact heeft gehad. Zelf zegt de man dat hij de kwetsbaarheid heeft gemeld bij Apple, maar geen reactie kreeg. Wel zegt hij de ontdekking verder te gaan onderzoeken. Dat zal ook gelden voor andere beveiligingsbedrijven, die ongetwijfeld willen weten of Hickey toch op het juiste spoor zat.
In iOS 12 zouden dergelijke kwetsbaarheden verleden tijd moeten zijn dankzij de USB Restricted Mode. daardoor kun je na een bepaalde tijdsperiode de Lightning-poort van een toestel niet meer gebruiken om data uit te wisselen. Deze optie staat standaard aan in de iOS 12 beta en waarschijnlijk ook in de iOS 12 Final.
Hieronder volgt ons oorspronkelijke bericht van 23 juni.
De man, Matthew Hickey, was niet met kwaadaardige bedoelingen op zoek naar een kwetsbaarheid, maar kwam het tijdens zijn werkzaamheden op het spoor. Het bleek mogelijk om alle pincodes van 0000 tot 9999 te proberen en via een kabel naar het apparaat te verzenden. Op die manier blijkt de normale limiet van 10 pincodepogingen te kunnen worden omzeild met een brute force-aanval. Elke poging duurt tussen de drie en vijf seconden. Daarmee lukt het om binnen een paar dagen de iPhone of iPad te ontgrendelen. Voor codes van zes cijfers duurt het proces enkele weken – tenzij de gebruiker een voor de hand liggende cijferreeks heeft gekozen.
https://vimeo.com/276506763
Volgens Hickey werkt de methode in ieder geval op iOS 11.3. Onduidelijk is nog of het ook op iOS 11.4 en de iOS 12 beta werkt.
Tip: lees alles over Pincode instellen op iPhone en iPad. Je kunt in plaats van een pincode beter kiezen voor een langere alfanumerieke toegangscode.
De hacker heeft Apple op de hoogte gebracht, maar heeft nog geen reactie ontvangen. Mogelijk is de kwetsbaarheid die Hickey heeft ontdekt, ook toegepast bij het GrayKey-kastje, waarmee politiediensten iPhones van verdachten kunnen ontgrendelen. Hickey benadrukt dat de truc gemakkelijk te ontdekken bleek.
- 2018 - 24 juni: Artikel bijgewerkt met reactie van Apple.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Kijk nu de documentaire 'Theft, Death, and Steve Jobs' op YouTube (16-12)
- Deze Chinese autofabrikant maakt meer dan 30 procent van alle iPads - en rukt steeds verder op (02-12)
- Getest: de nieuwe gehoorfuncties op de AirPods Pro (21-10)
- iCulture peilt: wat was jouw favoriete aankondiging van het september-event? (12-09)
- 'Wachtwoorden van Vision Pro-gebruikers waren te achterhalen' (12-09)
Reacties: 22 reacties