$120 IP-Box può essere utilizzato per hackerare iPhone e iPad con attacco brute force

iPhone e iPad vulnerabili ad attacchi brute force utilizzando IP-Box da £120 liberamente disponibile online

Puoi decifrare qualsiasi codice PIN a 4 cifre su iPhone e iPad anche quando hanno attivato l’opzione di limitazione dei tentativi contro gli attacchi brute force con IP-Box, secondo la società di consulenza sulla sicurezza britannica MDSec.

MDSec, che ha testato l’hardware chiamato “IP-Box iPhone Password Unlock Tool”, afferma che l’hardware è liberamente disponibile online su siti come fotofunshop e deve essere utilizzato con un adattatore anch’esso disponibile su fotofunshop, per decifrare qualsiasi codice PIN su iPhone e iPad anche se stanno eseguendo iOS 8.1.

L’IP-Box decifra qualsiasi codice PIN a 4 cifre di iPhone/iPad sfruttando una vulnerabilità nota ‘CVE-2014-4451’ nel sistema operativo di Apple fino alla versione 8.1. Apple ha corretto questa vulnerabilità nel suo iOS 8.1.1 rilasciato a novembre 2014, ma MDSec afferma che milioni di utenti di iPhone/iPad non hanno ancora aggiornato i loro smartphone e tablet, rendendoli vulnerabili all’attacco brute force di IP-Box.

MDSec nei suoi blog afferma che l’IP-Box utilizza una tecnica semplice “che simula l’inserimento del PIN tramite la connessione USB e forza sequenzialmente ogni possibile combinazione di PIN”.

Ciò che rende l’IP-Box più unico è che funziona anche dopo che l’utente di iPhone/iPad attiva l’opzione di limitazione dei tentativi con l’opzione “Cancella dati dopo 10 tentativi” attivata.

L’azienda ha testato con successo il dispositivo su un iPhone 5s che eseguiva iOS 8.1 e ha dichiarato che testerà l’IP-Box su iOS 8.2 nei prossimi giorni.

L’IP Box funziona eludendo la misura di limitazione dei tentativi e collegandosi direttamente alla fonte di alimentazione dell’iPhone/iPad e “interrompendo aggressivamente l’alimentazione dopo ogni tentativo di PIN fallito, ma prima che il tentativo sia stato sincronizzato nella memoria flash”.

Secondo MDSec, il modo in cui funziona l’iPhone/iPad, ogni tentativo potrebbe richiedere fino a 40 secondi, il che significa che il potenziale hacker può decifrare qualsiasi codice a quattro cifre in un massimo di 111 ore, il che è più lungo del tempo pubblicizzato da Apple di “tra 6 secondi e 17 ore”.

Puoi vedere il video PoC pubblicato da MDSec qui sotto:

Come detto sopra, Apple ha corretto la vulnerabilità dettagliata in CVE-2014-4451, ma molti utenti devono ancora aggiornare il loro iPhone/iPad/iPod a essa; inoltre, molti modelli come iPhone 4 e il iPad originale non consentono l’aggiornamento all’ultima versione del sistema operativo e possono essere facilmente sfruttati con IP-Box.

Apple deve ancora rilasciare una dichiarazione riguardo l’IP-Box.