$120 IP-Box kann verwendet werden, um iPhones und iPads mit Brute-Force-Angriffen zu hacken

iPhones und iPads anfällig für Brute-Force-Angriffe mit der £120 IP-Box, die online frei erhältlich ist

Sie können jeden 4-stelligen PIN-Code auf iPhone und iPad knacken, selbst wenn die Anti-Brute-Force-Angriff-Option “Versuchsbegrenzer” aktiviert ist, mit der IP-Box, so die britische Sicherheitsberatung MDSec.

MDSec, das die Hardware namens “IP-Box iPhone Passwort-Entsperrwerkzeug” getestet hat, sagt, dass die Hardware online auf Websites wie fotofunshop frei erhältlich ist und mit einem Adapter verwendet werden muss, der ebenfalls auf fotofunshop erhältlich ist, um jeden PIN-Code auf iPhone und iPad zu knacken, selbst wenn sie auf iOS 8.1 laufen.

Die IP-Box knackt jeden 4-stelligen iPhone/iPad-PIN-Code, indem sie eine bekannte Schwachstelle “CVE-2014-4451” im Betriebssystem von Apple bis zur Version 8.1 ausnutzt. Apple hat diese Schwachstelle in iOS 8.1.1 gepatcht, das es im November 2014 veröffentlicht hat, aber MDSec sagt, dass Millionen von iPhone/iPad-Nutzern ihre Smartphones und Tablets immer noch nicht aktualisiert haben, was sie anfällig für den Brute-Force-Angriff der IP-Box macht.

MDSec erklärt in seinen Blogs, dass die IP-Box eine einfache Technik verwendet, “die die PIN-Eingabe über die USB-Verbindung simuliert und jede mögliche PIN-Kombination sequenziell mit Brute-Force angreift”.

Was die IP-Box einzigartig macht, ist, dass sie selbst funktioniert, nachdem der iPhone/iPad-Nutzer die Versuchsbegrenzer-Option mit der Option “Daten nach 10 Versuchen löschen” aktiviert hat.

Das Unternehmen hat das Gerät erfolgreich an einem iPhone 5s mit iOS 8.1 getestet und erklärt, dass es die IP-Box in den kommenden Tagen auf iOS 8.2 testen wird.

Die IP-Box funktioniert, indem sie die Maßnahme des Versuchsbegrenzers umgeht und direkt an die Stromquelle des iPhone/iPad anschließt und “aggressiv die Stromversorgung nach jedem fehlgeschlagenen PIN-Versuch unterbricht, aber bevor der Versuch mit dem Flash-Speicher synchronisiert wurde”.

Laut MDSec könnte jeder Versuch bis zu 40 Sekunden dauern, was bedeutet, dass der potenzielle Hacker jeden vierstelligen Code in bis zu 111 Stunden knacken kann, was länger ist als die von Apple beworbene Zeit von “6 Sekunden bis 17 Stunden”.

Sie können das PoC-Video, das von MDSec gepostet wurde, unten sehen:

Wie oben erwähnt, hat Apple die in CVE-2014-4451 detaillierte Schwachstelle behoben, aber viele Benutzer haben ihre iPhones/iPads/iPods noch nicht aktualisiert. Darüber hinaus erlauben viele Modelle wie das iPhone 4 und das originale iPad kein Update auf das neueste Betriebssystem und können leicht mit der IP-Box ausgenutzt werden.

Apple hat sich bisher noch nicht zur IP-Box geäußert.