$120 IP-Box peut être utilisé pour pirater les iPhones et iPads par force brute

iPhones et iPads vulnérables aux attaques par force brute utilisant l’IP-Box à 120 £ librement disponible en ligne

Vous pouvez craquer n’importe quel code PIN à 4 chiffres sur iPhone et iPad même lorsqu’ils ont activé l’option de limitation des tentatives d’attaque par force brute avec l’IP-Box, selon la société de conseil en sécurité britannique MDSec.

MDSec, qui a testé le matériel appelé « Outil de déverrouillage de mot de passe IP-Box iPhone », affirme que le matériel est librement disponible en ligne sur des sites tels que fotofunshop et doit être utilisé avec un adaptateur également disponible sur fotofunshop, pour craquer n’importe quel code PIN sur iPhone et iPad même s’ils fonctionnent sous iOS 8.1.

L’IP-Box craque n’importe quel code PIN à 4 chiffres d’iPhone/iPad en exploitant une vulnérabilité connue « CVE-2014-4451 » dans le système d’exploitation d’Apple jusqu’à la version 8.1. Apple a corrigé cette vulnérabilité dans son iOS 8.1.1 qu’il a publié en novembre 2014, mais MDSec affirme que des millions d’utilisateurs d’iPhone/iPad n’ont toujours pas mis à jour leurs smartphones et tablettes, les rendant vulnérables à l’attaque par force brute de l’IP-Box.

MDSec déclare sur ses blogs que l’IP-Box utilise une technique simple « qui simule l’entrée du PIN via la connexion USB et force séquentiellement chaque combinaison possible de PIN ».

Ce qui rend l’IP-Box plus unique, c’est qu’elle fonctionne même après que l’utilisateur d’iPhone/iPad ait activé l’option de limitation des tentatives avec l’option « Effacer les données après 10 tentatives » activée.

La société a testé avec succès l’appareil sur un iPhone 5s fonctionnant sous iOS 8.1 et a déclaré qu’elle testerait l’IP-Box sur iOS 8.2 dans les jours à venir.

L’IP Box fonctionne en contournant la mesure de limitation des tentatives et en se connectant directement à la source d’alimentation de l’iPhone/iPad et en « coupant agressivement l’alimentation après chaque tentative de PIN échouée, mais avant que la tentative ait été synchronisée avec la mémoire flash ».

Selon MDSec, la façon dont l’iPhone/iPad fonctionne, chaque tentative pourrait prendre jusqu’à 40 secondes, ce qui signifie que le hacker potentiel peut craquer n’importe quel code à quatre chiffres en jusqu’à 111 heures, ce qui est plus long que le temps annoncé par Apple de « 6 secondes à 17 heures ».

Vous pouvez voir la vidéo PoC publiée par MDSec ci-dessous :

Comme mentionné ci-dessus, Apple a corrigé la vulnérabilité détaillée dans CVE-2014-4451, mais de nombreux utilisateurs n’ont pas encore mis à jour leur iPhone/iPad/iPod, de plus, de nombreux modèles tels que l’iPhone 4 et l’iPad original ne permettent pas de mise à jour vers le dernier OS et peuvent être facilement exploités avec l’IP-Box.

Apple n’a pas encore publié de déclaration concernant l’IP-Box.