Abbiamo già visto dispositivi per il passcode di telefoni a forza bruta. Questa confezione da $ 500, dimostrata sul video di YouTuber "EverythingApplePro", utilizza un exploit in iOS 10.3.3 e iOS 11 beta per hackerare la forza bruta e bypassare il passcode della schermata di blocco di un massimo di tre telefoni iPhone 7 / Plus alla volta, ma potrebbero essere necessari giorni per funzionare, a seconda della complessità del passcode.
Normalmente, attacchi come questo sono poco pratici a causa di un'impostazione selezionabile dall'utente che dice al tuo iPhone o iPad di cancellare tutti i tuoi dati dopo dieci voci passcode non riuscite.
Inoltre, il coprocessore crittografico Secure Enclave trovato nel processore principale della serie A applica ritardi temporali crescenti dopo l'inserimento di un passcode non valido nella schermata di blocco per impedire a tali box di provare molte diverse combinazioni di passcode al secondo.
Ma a causa di una lacuna precedentemente sconosciuta in iOS 10.3.3 e iOS 11 beta, un utente malintenzionato può utilizzare tutti i tentativi di passcode necessari sulla schermata bianca "Premi home per ripristinare" visualizzata dopo una nuova installazione di iOS. Nel video incorporato di seguito, "EverythingApplePro" utilizza un semplice passcode di "0016" per consentire all'hacking di funzionare più rapidamente.
L'hacking sfrutta il processo di aggiornamento di iOS.
"Hanno trovato una lacuna nello stato di recupero dei dati che ti consente di utilizzare tutti i tentativi di passcode che desideri", ha spiegato il postato.
Un utente malintenzionato dovrebbe comunque possedere il dispositivo da $ 500 e avere il telefono fisicamente in possesso per giorni prima di esporre il passcode. Sebbene i vecchi dispositivi / edizioni iOS non siano interessati, ci aspettiamo che Apple rilasci presto una correzione per correggere la vulnerabilità.
Questa vulnerabilità è limitata agli ultimi telefoni iPhone 7 e iPhone 7 Plus e specifici per iOS 10.3.3 e l'ultima versione di iOS 11 beta. Il modo migliore per proteggersi da questi tipi di attacchi di forza bruta consiste nell'impostare un passcode a sei cifre o alfanumerico, che potrebbe richiedere molte settimane o addirittura mesi per provare tutte le possibili combinazioni di passcode.
TUTORIAL: Come impostare un passcode a sei cifre sul tuo iPhone
All'inizio di questa settimana, l'hacker iOS "xerub" è riuscito a estrarre la chiave di decrittazione che protegge il firmware in esecuzione sul coprocessore crittografico Secure Enclave di Apple che è incorporato nel chip A7 dell'iPhone 5s e lo ha pubblicato su GitHub.
L'esposizione della chiave consente ai ricercatori della sicurezza di esaminare il funzionamento interno del software segreto di Apple che alimenta le funzioni che Secure Enclave fornisce al sistema.
I dati dell'utente, le chiavi di crittografia e altre informazioni sensibili archiviate in modo sicuro nella memoria crittografata di Secure Enclave non sono a rischio di decrittografia, ha affermato una fonte Apple oggi.
Anche rilevante, iOS 11 include un pratico collegamento che consente di disabilitare rapidamente Touch ID e richiede un passcode per sbloccare il dispositivo.
Questa potrebbe essere una caratteristica importante se ti dovessi trovare in una situazione pericolosa o a rischio di arresto perché garantisce che il telefono non possa essere sbloccato forzatamente con un'impronta digitale.
Per coloro che si chiedono, la polizia può costringerti a sbloccare il telefono utilizzando l'impronta digitale, ma legalmente non può costringerti a farlo quando si utilizza un passcode.