【IT】iOSのセキュリティに脆弱性、パスコード総当たりでロック解除可能と研究者指摘
■ このスレッドは過去ログ倉庫に格納されています
https://iphone-mania.jp/wp-content/uploads/2018/06/brute-force-iPhone.gif
iPhoneやiPadは、間違ったパスコードが10回以上入力されると端末のデータを全て削除することで、総当たりでパスワードが破られるのを防ぐ機能があります。しかし、セキュリティ研究者が、端末のデータを削除させずに総当たりでパスコードを破る方法を発見しました。
パスコード10回連続誤入力なら全データ消去
iPhoneなどiOS端末は、パスコードの安全性を高めるため、連続して10回間違ったパスコードが入力された場合、端末の全データを消去するように設定可能です。
この機能を使うには、設定アプリの「Touch IDとパスコード」メニューで「データを消去」をオン(緑色)にします。
この設定によって、4桁または6桁の数字を片っ端から入力する「ブルート・フォース(総当たり)」で、パスコードが破られて端末内のデータを盗み見される可能性はかなり低くなります。
データを消去させずにパスコードを総当たり
しかし、セキュリティ研究者でサイバーセキュリティ企業Hacker Houseの共同創業者でもあるマシュー・ヒッキー氏は、端末内のデータを消去させずにパスコードを総当たりで入力してロックを解除する様子を動画で公開しています。
ヒッキー氏はこの攻撃は、間違ったパスコード入力が10回続いた時にデータを消去する動作よりもキーボード入力操作が優先する、というiOSの仕様を突いたものと説明しています。
これは、4桁なら0000から9999までのパスコードを、間にスペースを入れないひとつの語として一気に入力することで、10回目の誤入力に対応したデータ消去処理を動作させずにパスコードの総当たりが続けられてしまう、というものです。
同氏によると、この攻撃は少なくともiOS11.3までのiOS端末で有効とのことです。
問題はAppleに報告済み
ヒッキー氏は、この脆弱性の詳細をすでにAppleに報告しており、Appleは問題解決に向けて取り組んでいる、と発言しています。
動画はソース元で
2018年6月24日 10時35分
https://iphone-mania.jp/news-216785/ お前らなんで平日のこの時間に2ちゃんできるの?
夜勤なの?
自営業なの?
2部学生なの?
フリーターなの?
入院中の患者なの?
平日休みの仕事なの?
職場で書き込んでるの?
昼からはじまる仕事なの?
親元に住んでる就活生なの?
来年以降に本気出す予定なの?
貯金を食いつぶして生きてるの?
金持ちの子供で遊んで暮らせるの? これ警察がAppleに犯罪の証拠がある可能性があるとロック解除依頼して断られた端末に有効じゃね Lightning指すだけのパスコード突破用の箱がウン10万で売ってたくらいだからな
あれで6桁までなら24時間以内に突破できるけど、7桁以上なら30日くらいかかるんだっけ
そもそもiOS12ではロック中に外部接続するのに認証いるからそれも1のも使えなくなるけどな PINじゃなくて任意桁数の英数字大文字小文字組み合わせたパスワードにしておけばいい
結局Touch ID使うんだし 長いパスコードを無理矢理入力すれば、データ削除に権限が移る時間を稼げて、そのまま続けてパスコードが入力可能ってこと? 盗まれて困るようなものを自分のスマホに入れるなってこと
電話帳に入ってる電話番号が盗まれたところで自分のじゃないしね ロックしてる間は充電出来ないようにしたら長時間アタック回避できるだろ これ、大問題なんだよ
たとえば過去に紛失したり盗難にあったりした端末
それを取得したやつがこういうバグが出てくることを見越してその端末をネットにつながらない状態にして保管しておくと、
こういうバグが出たときに一気にクラックされるわけ
macでもこういう核爆弾バグがついこの前あって(I am root問題)、
とくに企業では
Apple製品は根本的に使えない、使ってるやつは情報漏えい予備軍のバカと見なされてる アップルに教えてやんないで、こっそり法執行機関で共有すればいいのに。 解雇されたりしたのが元同僚のに
業務妨害、データ消去を目的に
10回以上入れるとかありそうだな。
ネット銀行で、口座番号だけをログインに使ってる所は
落札者や客に、振込先として教えたりできないな。
いたずらでロックされるから。 >>15
というよりもAppleも当局もiPhone窃盗団もみんな知ってた隠し裏口を、今回わざわざバラしちゃうやつがいたってだけだろ
もちろんこの「バグ」を修正するためにAppleはいろいろiOSを修正するから
また「新しいバグ」が入り込むだろうけど仕方ないよねwww >>16
そしてAppleはその制限を回避できるバグを入れ込んでしまうところまでがテンプレ
こういうことやってるからApple製品は一切信用できない
オープンソースが万能とは言わないが、ソースが公開されてればおかしなことやってるソースはすぐにバレる
この点においてオープンソースでないiPhoneはあまりにも危険すぎる
Androidはその点オープンソースだから安全性は根本的に高くなる
まとな個人や企業がiPhoneは避けてAndroidを意図的に選んでるのもそのため これそもそもロック前にキーボードがペアリグンしてないとダメじゃん >>19
オープンソースが安全とか、それこそ幻想
どんだけ問題起こしてると思っているんや
Strutsとかマジで勘弁してほしかった >>20
そしてまた「新しいバグ」が入り込むだけ
オープンソースではないApple製品なんてバックドア仕掛け放題だからな >>24
まったく反論になってない
Strutsがクローズドソースならなおさら問題が大きく長く続いた
オープンソースによる効果が確実にあることを否定する材料になっていない
はい完全論破 >>25
だったらクローズドな部分を含んでいるAndroidも同じだろう >>27
AOSPからフォークもできない雑魚アンチAndroidのお前が何を叫んでも無駄だと早く理解しろよ
あらかじめ言っておくが
この事実すら理解できないならホント救いようがない馬鹿とお前が全世界から認識されることになる >>28
マジレスしとくと今まさに全世界のトップレベルの開発者含めて開発者がどんどんMacやiPhoneやめてWindows(+WSL)とAndroidのほうに移行しまくってるんだけどね
お前が一生かけて稼ぐカネを数年で稼ぐレベルの人々がね
あ、お前の年収ゼロは何年かけてもゼロもままか
すまないすまない >>27
程度の問題を無視してる涙目発狂Apple信者は気持ち悪いので出てってください 完全論破されたApple信者が話をすり替えようとしだしたな
こうやってApple製品が危険あるということがもみ消されていくんだよなぁ
Apple製品の問題をネットで挙げるだけでApple信者から攻撃されてネット血祭りにされるからね 8桁くらいにしておけばいい。
みんな8桁にしてきたら9桁でもいい。 >>11
違う。
そのレベルでしか理解できない奴には理解が難しい話だ。 >>14
君は君の妄想と現実が違うと言うことを理解しても良いと思うが、難しいのかな? >>15
お前らみたいな屠殺人ラブの豚は圧倒的少数派だからね。
アップルに連絡するよりも、法執行機関に連絡すると言う奴は少数派になるな、
残念だったね豚。せいぜい屠殺人と仲良くな。 >>19
アンドロイドとIOSのセキュリティ上の強さはお前の主張が間違っていることを示しているがな。 >>26
現実は関係なしか。
確かにお前には何の議論も無用なようだ。
馬鹿は出てくるな。 4桁くらいだったら、実際に20分もかからずに入力できてしまうね
6桁で半日くらいかな
まあ実際は、表面の指紋汚れを見れば、ある程度絞り込めるんじゃないかな……
人間が一番の脆弱性です、っていう。 >>26
OpenSSHとか5年くらい放置されとったけど、どうなの?
クローズドだったら10年くらい放置されてたとか?馬鹿言え >>22
>携帯電話の中身なんか見て何をする?
連絡先、交友関係をさぐるらしい
アメリカ共和党が 後藤さんの親戚の伊達家の本家と高山の高の本家が縁組したとこを
まさとがかなり前から延々と寄生しようとしんどかった
侍のころからと縁組したあとは月をけいゆうしてマサトが6でグーしようとして
韓のとこ大迷惑だ 後藤さんの親戚の伊達家の本家と高山の高の本家が縁組したとこを
まさとがかなり前から延々と寄生しようとしんどかった
侍のころからと縁組したあとは月をけいゆうしてマサトが6でグーしようとして
韓のとこ大迷惑だ どこをけいゆうして6すれば寄生されないか難儀してた
住吉だと侍、稲川だとX、山口だとルナシー どこいってもマサトが張り付いて本当に迷惑だ
本人はどこに縁組しても工藤会おしつけてきて 縁組先でドラゴン化してる 結局、まさとが負担で個展も音楽活動も一回も出来ずに休業した
このガキ、避けるのだけで難儀してた
葬式興行に巻き込まれたくない そこのギターみたいな目に合いたくない韓は!! そもそも総当たりさせなければいいだけだ。
自分の端末ならまちがえてもせいぜい5〜6回まで。
それをすぎれば指紋認証やApple IDのIDとパスワードの両方を要求するなどすればいい。
他のサービスでも総当たりが脆弱というが
総当たりできないようにしたらいいだけなのに
エンジニアというか開発が無能なんだろう。
セキュリティの考え方が何十年も前で止まっている。 クレジットカードを強制的に普及させている
中国のほうが賢いだろ
クレジットカードがないとお茶も呑めないぞ 一人住まいのはずなのに
いつも10人分の食材を買うとか
料理研究家かと思われるてしまう >>60
日本の円が世界の中でどんな扱いかわかってる?
現金になんの信用もないから中華のような国では普及するんだよ。 >>21
> これそもそもロック前にキーボードがペアリグンしてないとダメじゃん
ブルーツースで入力してるのこれ? 嫌いな人のをわざと間違えてデータ前消去してあげたことある >>29
お前それ>>27への反論になってないが。 こういうのって全部が目くらましで
実際はアメリカや同盟国から依頼があったらバックドラで一瞬なんだろ
時間をかけるのは何か高度なことをしてるように見せかけてるだけ >>73
悪意あるタイトルだな。
「一蹴」なんて敵対的な内容じゃ無いだろうと。 つーか今時ダブル承認だ
パスコード破ってもtouchIDで指紋承認とか
他の端末に速攻で承認要求が来る
つーか4桁ってお前らそろそろ4万代のiPadがこの夏に出るから
新しいのに変えろよ、今は6桁と指紋とかfaceのダブル承認がデフォだろ Huaweiの方が安くて安全
定期的にセキュリティパッチの入ったOSアップデートを配信してくれる ■ このスレッドは過去ログ倉庫に格納されています