$120 IP-Box может быть использован для взлома iPhone и iPad с помощью грубой силы

iPhone и iPad уязвимы для атаки грубой силы с использованием IP-Box за £120, свободно доступного в интернете

Вы можете взломать любой 4-значный PIN-код на iPhone и iPad, даже если у них включена опция ограничения попыток атаки грубой силы, с помощью IP-Box, согласно британской консалтинговой компании по безопасности MDSec.

MDSec, которая тестировала аппаратное обеспечение под названием “IP-Box iPhone Password Unlock Tool”, сообщает, что это оборудование свободно доступно в интернете на таких сайтах, как fotofunshop, и его необходимо использовать с адаптером, также доступным на fotofunshop, чтобы взломать любой PIN-код на iPhone и iPad, даже если они работают на iOS 8.1.

IP-Box взламывает любой 4-значный PIN-код iPhone/iPad, используя известную уязвимость “CVE-2014-4451” в операционной системе Apple до версии 8.1. Apple исправила эту уязвимость в своей iOS 8.1.1, выпущенной в ноябре 2014 года, но MDSec утверждает, что миллионы пользователей iPhone/iPad все еще не обновили свои смартфоны и планшеты, что делает их уязвимыми для атаки грубой силы IP-Box.

MDSec на своем блоге утверждает, что IP-Box использует простую технику “которая симулирует ввод PIN-кода через USB-соединение и последовательно перебирает каждую возможную комбинацию PIN-кода”.

Что делает IP-Box более уникальным, так это то, что он работает даже после того, как пользователь iPhone/iPad включает опцию ограничения попыток с включенной опцией “Стереть данные после 10 попыток”.

Компания успешно протестировала устройство на iPhone 5s с iOS 8.1 и заявила, что в ближайшие дни будет тестировать IP-Box на iOS 8.2.

IP-Box работает, обходя меры ограничения попыток и подключаясь напрямую к источнику питания iPhone/iPad и “агрессивно отключая питание после каждой неудачной попытки ввода PIN-кода, но до того, как попытка была синхронизирована с флэш-памятью”.

Согласно MDSec, поскольку iPhone/iPad работает, каждая попытка может занимать до 40 секунд, что означает, что потенциальный хакер может взломать любой 4-значный код за 111 часов, что, по их словам, дольше, чем рекламируемое Apple время от “6 секунд до 17 часов”.

Вы можете увидеть видео PoC, опубликованное MDSec, ниже:

Как уже упоминалось, Apple исправила уязвимость, описанную в CVE-2014-4451, но многие пользователи все еще не обновили свои iPhone/iPad/iPod до нее, кроме того, многие модели, такие как iPhone 4 и оригинальный iPad, не позволяют обновление до последней ОС и могут быть легко использованы с IP-Box.

Apple еще не сделала заявление относительно IP-Box.