L'attaque permet aux attaquants de faire un nombre illimité de tentatives de mot de passe sur un appareil Apple verrouillé sans risque, ce qui déclenchera un mécanisme de protection qui effacera toutes les données.
Depuis la sortie d'iOS 8 en 2014, tous les iPhones et iPads utilisent le cryptage. Souvent protégés par un mot de passe à 4 ou 6 chiffres, ces appareils deviennent pratiquement invulnérables à la rupture d'une combinaison de sécurité logicielle et matérielle. Si le nombre autorisé de tentatives de saisie d'un mot de passe est dépassé, toutes les données de l'appareil sont supprimées.
Mais Matthew Hickey, chercheur en sécurité et co-fondateur de Hacker House, a trouvé un
moyen de contourner la limite de 10 tentatives et d'entrer autant de mots de passe qu'il le souhaite - mĂȘme sur iOS 11.3.
L'attaquant n'a besoin que du smartphone verrouillé inclus et du cùble Lightning.
Dans des conditions normales, le nombre de tentatives de saisie d'un mot de passe par minute est limité sur les iPhones et iPads. Les appareils Apple récents contiennent une puce distincte pour la protection contre les attaques par force brute, qui compte le nombre de tentatives de mot de passe et ralentit la réponse à chaque nouvelle erreur.
Hickey a réussi à contourner cette défense. Il a expliqué que lorsqu'un iPhone ou iPad est connecté et que l'attaquant envoie des frappes, cela déclenche une interruption qui a la priorité la plus élevée sur l'appareil.
Au lieu d'envoyer des mots de passe un par un et d'attendre une rĂ©ponse, envoyez-les tous en mĂȘme temps. Si vous exĂ©cutez une attaque par force brute avec une longue ligne, elle sera traitĂ©e comme une seule tentative de saisie d'un mot de passe, ce qui Ă©vitera la dĂ©tection de la collecte et de la suppression de donnĂ©es.
Un attaquant peut envoyer tous les mots de passe en une seule fois, en les rĂ©pertoriant sur une seule ligne sans espaces. En raison du fait que cela n'entraĂźne pas d'interruptions logicielles, le processus de traitement de l'entrĂ©e au clavier a une prioritĂ© plus Ă©levĂ©e, empĂȘchant le processus de comptage des tentatives d'entrer et de supprimer des donnĂ©es de l'appareil pour dĂ©marrer. Cela signifie qu'une attaque n'est possible qu'aprĂšs le chargement de l'appareil, explique Hickey, car plus de programmes sont en cours d'exĂ©cution.
La prochaine mise à jour iOS 12 introduira un mode de restriction USB qui rendra impossible l'utilisation du port pour autre chose que pour charger l'appareil si plus d'une heure s'est écoulée depuis le dernier déverrouillage. Cela limitera l'exploitabilité de la vulnérabilité trouvée, car lors d'une attaque par force brute, il faut 3 à 5 secondes pour vérifier chaque mot de passe, ce qui vous permettra de récupérer uniquement un mot de passe à quatre chiffres en une heure, mais pas à six chiffres.
Hickey a envoyé à Apple une lettre décrivant la vulnérabilité, mais n'a pas encore reçu de réponse.
Trouver ce bug a été facile. Je pense que d'autres s'en sortiront ou l'ont déjà fait.
UPD 23/06/2018Matthew a
Ă©crit sur son Twitter qu'Apple a lancĂ© une enquĂȘte sur la base des informations fournies, au cours de laquelle ils pourraient expliquer le comportement du smartphone, ainsi que nommer les mesures de protection existantes contre une attaque dĂ©montrĂ©e qui n'ont pas Ă©tĂ© remarquĂ©es par lui.
UPD 24/06/2018La porte-parole d'Apple, Michelle Wyman, a déclaré que le récent rapport sur la façon de contourner la protection sur un iPhone est une erreur et le résultat de tests incorrects.
Hickey a
écrit plus tard sur son Twitter qu'il semble que tous les mots de passe transmis n'ont pas réellement atteint l'appareil:
Les mots de passe ne sont pas toujours entrés dans le module de sécurité. Autrement dit, bien qu'il semble qu'ils aient été saisis, en fait, ils n'ont pas été vérifiés par l'appareil pour l'exactitude et n'ont pas augmenté le compteur de tentatives de connexion.
Hickey remercie
Stefan Esser pour son aide.
Je suis revenu à revérifier le code et le processus de test. Lorsque j'ai envoyé les mots de passe au smartphone, il semblait que 20 d'entre eux ou plus avaient été saisis, mais en réalité, seuls 4 à 5 mots de passe ont été envoyés à l'appareil pour vérification.