スマートフォンハッキング会社Cellebriteがハッキング被害に

週末に、iPhoneをパソコンに接続し、画面上のキーボードではなくパソコンからパスコードを送信することで、iPhoneのパスコード入力回数制限を回避できるというニュースが流れました。Appleはそれは不可能だと言っていますが、おそらく彼らの言う通りでしょう。

Hacker Houseの共同設立者マシュー・ヒッキー氏は先週金曜日、パスコードの推測は何度でも可能だとTwitterに投稿し、その欠陥が実際にどのように機能するかを示す動画も作成した。

Apple IOS <= 12 データ消去バイパス、iOS11 で徹底的にテスト、4/6 桁の PIN を無制限にブルート フォース攻撃 (複雑なパスワードは人によって異なります) https://t.co/1wBZOEsBJl – エクスプロイトの実行デモ。

— Hacker Fantastic (@hackerfantastic) 2018年6月22日

この動画は非常に危険な印象を与えますが、AppleはEngadgetに対し、コンピュータのキーボードを使ってパスコードを送信しても、内蔵のセキュリティ対策を回避できないと述べています。Appleの広報担当者は、「iPhoneのパスコードバイパスに関する最近の報告は誤りであり、不適切なテストの結果です」と述べています。

ヒッキー氏の結論は誤ったデータに基づいていたことが判明しました。彼はその後のツイートで、iPhoneがパスコード入力の試行をすべて記録していなかったと述べました。

@i0n1c の言う通りかもしれません。ピンが必ずしも SEP に届くとは限りません (ポケットダイヤルや入力が速すぎる場合など)。そのため、ピンがテストされているように見えても、必ずしも送信されているわけではなく、カウントされません。デバイスは、@Apple で表示されるよりも少ないカウントを記録します。

— Hacker Fantastic (@hackerfantastic) 2018年6月23日

つまり、彼は自分が実際よりも多くのパスコードを入力しようとしていたということです。つまり、10回ログインに失敗するとiPhoneをロックしてデータを消去するiOSの機能は、少なくとも今のところは安全だということです。