X
【IT】iOSのセキュリティに脆弱性、パスコード総当たりでロック解除可能と研究者指摘
■ このスレッドは過去ログ倉庫に格納されています
0001ムヒタ ★垢版2018/06/24(日) 13:09:35.40ID:CAP_USER
https://iphone-mania.jp/wp-content/uploads/2018/06/brute-force-iPhone.gif

iPhoneやiPadは、間違ったパスコードが10回以上入力されると端末のデータを全て削除することで、総当たりでパスワードが破られるのを防ぐ機能があります。しかし、セキュリティ研究者が、端末のデータを削除させずに総当たりでパスコードを破る方法を発見しました。

パスコード10回連続誤入力なら全データ消去
iPhoneなどiOS端末は、パスコードの安全性を高めるため、連続して10回間違ったパスコードが入力された場合、端末の全データを消去するように設定可能です。

この機能を使うには、設定アプリの「Touch IDとパスコード」メニューで「データを消去」をオン(緑色)にします。

この設定によって、4桁または6桁の数字を片っ端から入力する「ブルート・フォース(総当たり)」で、パスコードが破られて端末内のデータを盗み見される可能性はかなり低くなります。

データを消去させずにパスコードを総当たり
しかし、セキュリティ研究者でサイバーセキュリティ企業Hacker Houseの共同創業者でもあるマシュー・ヒッキー氏は、端末内のデータを消去させずにパスコードを総当たりで入力してロックを解除する様子を動画で公開しています。

ヒッキー氏はこの攻撃は、間違ったパスコード入力が10回続いた時にデータを消去する動作よりもキーボード入力操作が優先する、というiOSの仕様を突いたものと説明しています。

これは、4桁なら0000から9999までのパスコードを、間にスペースを入れないひとつの語として一気に入力することで、10回目の誤入力に対応したデータ消去処理を動作させずにパスコードの総当たりが続けられてしまう、というものです。

同氏によると、この攻撃は少なくともiOS11.3までのiOS端末で有効とのことです。

問題はAppleに報告済み
ヒッキー氏は、この脆弱性の詳細をすでにAppleに報告しており、Appleは問題解決に向けて取り組んでいる、と発言しています。
動画はソース元で
2018年6月24日 10時35分
https://iphone-mania.jp/news-216785/
0002名刺は切らしておりまして垢版2018/06/24(日) 13:12:45.69ID:KxPoMleK
お前らなんで平日のこの時間に2ちゃんできるの?

夜勤なの?
自営業なの?
2部学生なの?
フリーターなの?
入院中の患者なの?
平日休みの仕事なの?
職場で書き込んでるの?
昼からはじまる仕事なの?
親元に住んでる就活生なの?
来年以降に本気出す予定なの?
貯金を食いつぶして生きてるの?
金持ちの子供で遊んで暮らせるの?
0005名刺は切らしておりまして垢版2018/06/24(日) 13:29:10.96ID:MNA6Mamj
生体認証にしてくれ
0007名刺は切らしておりまして垢版2018/06/24(日) 13:37:35.67ID:FfPByyhr
これ警察がAppleに犯罪の証拠がある可能性があるとロック解除依頼して断られた端末に有効じゃね
0008名刺は切らしておりまして垢版2018/06/24(日) 13:40:11.84ID:wTM8fcAn
Lightning指すだけのパスコード突破用の箱がウン10万で売ってたくらいだからな
あれで6桁までなら24時間以内に突破できるけど、7桁以上なら30日くらいかかるんだっけ

そもそもiOS12ではロック中に外部接続するのに認証いるからそれも1のも使えなくなるけどな
0009名刺は切らしておりまして垢版2018/06/24(日) 13:40:36.27ID:MWyyZxrF
PINじゃなくて任意桁数の英数字大文字小文字組み合わせたパスワードにしておけばいい
結局Touch ID使うんだし
0011名刺は切らしておりまして垢版2018/06/24(日) 13:46:21.88ID:gD5HdbnG
長いパスコードを無理矢理入力すれば、データ削除に権限が移る時間を稼げて、そのまま続けてパスコードが入力可能ってこと?
0012名刺は切らしておりまして垢版2018/06/24(日) 13:46:29.42ID:IX4/sjJj
盗まれて困るようなものを自分のスマホに入れるなってこと
電話帳に入ってる電話番号が盗まれたところで自分のじゃないしね
0013名刺は切らしておりまして垢版2018/06/24(日) 13:48:33.91ID:you5OXkI
ロックしてる間は充電出来ないようにしたら長時間アタック回避できるだろ
0014名刺は切らしておりまして垢版2018/06/24(日) 13:56:04.86ID:87ExJfYy
これ、大問題なんだよ

たとえば過去に紛失したり盗難にあったりした端末
それを取得したやつがこういうバグが出てくることを見越してその端末をネットにつながらない状態にして保管しておくと、
こういうバグが出たときに一気にクラックされるわけ

macでもこういう核爆弾バグがついこの前あって(I am root問題)、
とくに企業では
Apple製品は根本的に使えない、使ってるやつは情報漏えい予備軍のバカと見なされてる
0016名刺は切らしておりまして垢版2018/06/24(日) 14:04:09.61ID:uNQi85CM
一回間違えたら待ち時間5分とか設定させれば
0017名刺は切らしておりまして垢版2018/06/24(日) 14:12:46.92ID:eKc0mjfi
解雇されたりしたのが元同僚のに
業務妨害、データ消去を目的に
10回以上入れるとかありそうだな。

ネット銀行で、口座番号だけをログインに使ってる所は
落札者や客に、振込先として教えたりできないな。
いたずらでロックされるから。
0018名刺は切らしておりまして垢版2018/06/24(日) 14:21:09.22ID:+dUcPPI8
>>15
というよりもAppleも当局もiPhone窃盗団もみんな知ってた隠し裏口を、今回わざわざバラしちゃうやつがいたってだけだろ

もちろんこの「バグ」を修正するためにAppleはいろいろiOSを修正するから
また「新しいバグ」が入り込むだろうけど仕方ないよねwww
0019名刺は切らしておりまして垢版2018/06/24(日) 14:27:29.42ID:txROJfVv
>>16
そしてAppleはその制限を回避できるバグを入れ込んでしまうところまでがテンプレ

こういうことやってるからApple製品は一切信用できない
オープンソースが万能とは言わないが、ソースが公開されてればおかしなことやってるソースはすぐにバレる

この点においてオープンソースでないiPhoneはあまりにも危険すぎる
Androidはその点オープンソースだから安全性は根本的に高くなる

まとな個人や企業がiPhoneは避けてAndroidを意図的に選んでるのもそのため
0020名刺は切らしておりまして垢版2018/06/24(日) 14:29:59.04ID:1bdQhtuo
気にすんなすぐに修正されるだけ
0021名刺は切らしておりまして垢版2018/06/24(日) 14:31:59.75ID:1bdQhtuo
これそもそもロック前にキーボードがペアリグンしてないとダメじゃん
0023名刺は切らしておりまして垢版2018/06/24(日) 14:39:48.98ID:eIsteRan
全データ消去設定とかしてるやつほぼ居ないだろ
0024名刺は切らしておりまして垢版2018/06/24(日) 14:48:30.38ID:Xdc98i/F
>>19
オープンソースが安全とか、それこそ幻想
どんだけ問題起こしてると思っているんや

Strutsとかマジで勘弁してほしかった
0025名刺は切らしておりまして垢版2018/06/24(日) 14:52:05.08ID:tN8TA9E8
>>20
そしてまた「新しいバグ」が入り込むだけ

オープンソースではないApple製品なんてバックドア仕掛け放題だからな
0026名刺は切らしておりまして垢版2018/06/24(日) 14:54:23.68ID:tN8TA9E8
>>24
まったく反論になってない

Strutsがクローズドソースならなおさら問題が大きく長く続いた
オープンソースによる効果が確実にあることを否定する材料になっていない

はい完全論破
0029名刺は切らしておりまして垢版2018/06/24(日) 14:59:09.17ID:tN8TA9E8
>>27
AOSPからフォークもできない雑魚アンチAndroidのお前が何を叫んでも無駄だと早く理解しろよ

あらかじめ言っておくが
この事実すら理解できないならホント救いようがない馬鹿とお前が全世界から認識されることになる
0031名刺は切らしておりまして垢版2018/06/24(日) 15:07:12.43ID:eZrhAT/s
>>28
マジレスしとくと今まさに全世界のトップレベルの開発者含めて開発者がどんどんMacやiPhoneやめてWindows(+WSL)とAndroidのほうに移行しまくってるんだけどね
お前が一生かけて稼ぐカネを数年で稼ぐレベルの人々がね


あ、お前の年収ゼロは何年かけてもゼロもままか
すまないすまない
0037名刺は切らしておりまして垢版2018/06/24(日) 15:33:16.03ID:x6YRY1ES
完全論破されたApple信者が話をすり替えようとしだしたな
こうやってApple製品が危険あるということがもみ消されていくんだよなぁ

Apple製品の問題をネットで挙げるだけでApple信者から攻撃されてネット血祭りにされるからね
0039名刺は切らしておりまして垢版2018/06/24(日) 16:25:13.65ID:Lqa+Dw7x
さすがヒッキー
0040名刺は切らしておりまして垢版2018/06/24(日) 16:46:03.65ID:QomnZtCZ
>>8
もう使えなくなっている。
0041名刺は切らしておりまして垢版2018/06/24(日) 16:46:43.21ID:QomnZtCZ
>>4
違う
0042名刺は切らしておりまして垢版2018/06/24(日) 16:46:56.27ID:QomnZtCZ
>>7
無理
0043名刺は切らしておりまして垢版2018/06/24(日) 16:47:14.34ID:QomnZtCZ
>>9
それがなんの役に立つの
0044名刺は切らしておりまして垢版2018/06/24(日) 16:47:24.87ID:QomnZtCZ
>>10
ふむ
0045名刺は切らしておりまして垢版2018/06/24(日) 16:49:07.00ID:QomnZtCZ
>>11
違う。

そのレベルでしか理解できない奴には理解が難しい話だ。
0046名刺は切らしておりまして垢版2018/06/24(日) 16:49:39.34ID:QomnZtCZ
>>13
四桁の数字ならあっという間だ。
0047名刺は切らしておりまして垢版2018/06/24(日) 16:50:29.82ID:QomnZtCZ
>>14
君は君の妄想と現実が違うと言うことを理解しても良いと思うが、難しいのかな?
0048名刺は切らしておりまして垢版2018/06/24(日) 16:52:22.91ID:QomnZtCZ
>>15
お前らみたいな屠殺人ラブの豚は圧倒的少数派だからね。

アップルに連絡するよりも、法執行機関に連絡すると言う奴は少数派になるな、

残念だったね豚。せいぜい屠殺人と仲良くな。
0049名刺は切らしておりまして垢版2018/06/24(日) 16:53:16.33ID:QomnZtCZ
>>19
アンドロイドとIOSのセキュリティ上の強さはお前の主張が間違っていることを示しているがな。
0050名刺は切らしておりまして垢版2018/06/24(日) 16:54:15.81ID:QomnZtCZ
>>26
現実は関係なしか。

確かにお前には何の議論も無用なようだ。

馬鹿は出てくるな。
0052名刺は切らしておりまして垢版2018/06/24(日) 16:57:25.01ID:VSbGezno
4桁くらいだったら、実際に20分もかからずに入力できてしまうね
6桁で半日くらいかな

まあ実際は、表面の指紋汚れを見れば、ある程度絞り込めるんじゃないかな……
人間が一番の脆弱性です、っていう。
0053名刺は切らしておりまして垢版2018/06/24(日) 16:59:32.78ID:q6fVOnho
>>26
OpenSSHとか5年くらい放置されとったけど、どうなの?

クローズドだったら10年くらい放置されてたとか?馬鹿言え
0054名刺は切らしておりまして垢版2018/06/24(日) 17:10:25.31ID:CLOWQIBU
>>47
養護にもなっていないようだが?
0055大島榮城 ◆n3rBZgRz6w 垢版2018/06/24(日) 17:11:53.86ID:hPfYFSiX
>>22
>携帯電話の中身なんか見て何をする?

連絡先、交友関係をさぐるらしい
アメリカ共和党が
0056名刺は切らしておりまして垢版2018/06/24(日) 17:31:32.85ID:9ZCOfwQf
後藤さんの親戚の伊達家の本家と高山の高の本家が縁組したとこを
まさとがかなり前から延々と寄生しようとしんどかった
侍のころからと縁組したあとは月をけいゆうしてマサトが6でグーしようとして
韓のとこ大迷惑だ
0057名刺は切らしておりまして垢版2018/06/24(日) 17:36:39.52ID:9ZCOfwQf
後藤さんの親戚の伊達家の本家と高山の高の本家が縁組したとこを
まさとがかなり前から延々と寄生しようとしんどかった
侍のころからと縁組したあとは月をけいゆうしてマサトが6でグーしようとして
韓のとこ大迷惑だ  どこをけいゆうして6すれば寄生されないか難儀してた
住吉だと侍、稲川だとX、山口だとルナシー どこいってもマサトが張り付いて本当に迷惑だ
本人はどこに縁組しても工藤会おしつけてきて 縁組先でドラゴン化してる
0058名刺は切らしておりまして垢版2018/06/24(日) 17:40:29.20ID:9ZCOfwQf
結局、まさとが負担で個展も音楽活動も一回も出来ずに休業した
このガキ、避けるのだけで難儀してた
葬式興行に巻き込まれたくない そこのギターみたいな目に合いたくない韓は!!
0059名刺は切らしておりまして垢版2018/06/24(日) 17:50:03.59ID:Ev92nq9F
そもそも総当たりさせなければいいだけだ。
自分の端末ならまちがえてもせいぜい5〜6回まで。
それをすぎれば指紋認証やApple IDのIDとパスワードの両方を要求するなどすればいい。

他のサービスでも総当たりが脆弱というが
総当たりできないようにしたらいいだけなのに
エンジニアというか開発が無能なんだろう。
セキュリティの考え方が何十年も前で止まっている。
0060名刺は切らしておりまして垢版2018/06/24(日) 17:50:35.11ID:fp6QjMZW
クレジットカードを強制的に普及させている
中国のほうが賢いだろ
クレジットカードがないとお茶も呑めないぞ
0061名刺は切らしておりまして垢版2018/06/24(日) 17:54:33.56ID:fp6QjMZW
一人住まいのはずなのに
いつも10人分の食材を買うとか
料理研究家かと思われるてしまう
0062名刺は切らしておりまして垢版2018/06/24(日) 18:09:36.97ID:Ev92nq9F
>>60
日本の円が世界の中でどんな扱いかわかってる?
現金になんの信用もないから中華のような国では普及するんだよ。
0064名刺は切らしておりまして垢版2018/06/24(日) 18:49:18.69ID:uQGhNEL5
>>21
> これそもそもロック前にキーボードがペアリグンしてないとダメじゃん


ブルーツースで入力してるのこれ?
0066名刺は切らしておりまして垢版2018/06/25(月) 00:24:13.21ID:/6VpDpHP
>>29
お前それ>>27への反論になってないが。
0068名刺は切らしておりまして垢版2018/06/25(月) 00:47:16.16ID:ZwLW+g+J
こういうのって全部が目くらましで
実際はアメリカや同盟国から依頼があったらバックドラで一瞬なんだろ
時間をかけるのは何か高度なことをしてるように見せかけてるだけ
0071名刺は切らしておりまして垢版2018/06/25(月) 12:24:55.17ID:7X2R+Fqh
戻るボタンまだかよ
0074名刺は切らしておりまして垢版2018/06/25(月) 13:26:38.34ID:/6VpDpHP
>>73
悪意あるタイトルだな。
「一蹴」なんて敵対的な内容じゃ無いだろうと。
0075名刺は切らしておりまして垢版2018/06/25(月) 13:52:00.64ID:qTfrniEe
つーか今時ダブル承認だ
パスコード破ってもtouchIDで指紋承認とか
他の端末に速攻で承認要求が来る

つーか4桁ってお前らそろそろ4万代のiPadがこの夏に出るから
新しいのに変えろよ、今は6桁と指紋とかfaceのダブル承認がデフォだろ
0076名刺は切らしておりまして垢版2018/06/25(月) 19:30:40.30ID:7RD5EKZR
>>73
内部的に受け付けないようになってるのか
0077名刺は切らしておりまして垢版2018/06/26(火) 14:57:55.80ID:DiONQ+LI
Huaweiの方が安くて安全
定期的にセキュリティパッチの入ったOSアップデートを配信してくれる
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況