「高速にパスコードを入力して総当たりでロックを解除する」というiOSのロック解除手法は現実には使えない

「高速にパスコードを入力して総当たりでロックを解除する」というiOSのロック解除手法は現実には使えない 29

ストーリー by hylom 2018年06月27日 16時32分
さすがにダメだったか部門より

あるAnonymous Coward曰く、

先日、Hacker Houseの共同設立者のMatthew Hickey氏は、「iOSのセキュリティ機能を回避して、パスコードを総当たり攻撃で突破できる脆弱性が発見された」と発表した。iOSには間違ったパスコードが10回入力されると端末のデータをすべて消去する機能があるが、パスコードを短時間で一気に送信することで、データ消去が実行される前にロックを解除できるという内容なのだが、この指摘は正しくないとAppleなどが反論している（iPhone Mania、CNET、Slashdot）。
ほかの研究者などの指摘によると、入力が早すぎる場合入力したデータがセキュリティプロセッサに送信されないことがあり、そのため高速な総当たりによるパスコード突破は現実的には行えないようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索29コメント Log In/Create an Account

イタズラ禁止 (スコア:1)

by nemui4 (20313) on 2018年06月27日 16時43分 (#3433382) 日記

>iOSには間違ったパスコードが10回入力されると端末のデータをすべて消去する機能があるが、
- Re:イタズラ禁止 (スコア:2)
  
  by 90 (35300) on 2018年06月27日 19時07分 (#3433511) 日記
  
  そのためのiCloudと、iCloud上データの暗号化です。Chrome OSみたいな感覚で使うとよいのでは?
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  その時点で攻撃されてるわけですから仕方ないかな。
  他の人が触れる状態にするのはダメってことですね。
  もしくはケース自体に物理的なロック機能を持たせるとか。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    .50calで物理ロックを突破される脆弱性が発見されるんですね。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  こんなの有効にする人いるの？
  ちなみにイタズラ目的でやった場合、日本ではどんな法律に触れるだろうか。
  まさか消えるとは…という言い訳は可とする。
  - Re:イタズラ禁止 (スコア:1)
    
    by Anonymous Coward on 2018年06月27日 17時18分 (#3433418)
    
    普通してるもんじゃないの？知らんけど。
    俺はしてるよ、別にiPhoneにだけ入れておく情報なんてないし、家のバックアップですぐに戻せるし。
    
    シェア
    
    親コメント
    - Re:イタズラ禁止 (スコア:1)
      
      by nemui4 (20313) on 2018年06月28日 10時23分 (#3433812) 日記
      
      >俺はしてるよ、別にiPhoneにだけ入れておく情報なんてないし、家のバックアップですぐに戻せるし。
      クラウドじゃなくて、家で物理メディアにバックアップだと手堅そう。
      毎週バックアップで四世代くらいで回してるんすかね。
      昔のPDAだとそんな感じで、定期的に母艦に繋いでバックアップ取ってたっけ。
      iPhoneって今でも母艦形式でlocalで個別に管理できるんだっけ。(Mac経由?)
      
      シェア
      
      親コメント
    - - Re: (スコア:0)
        
        by Anonymous Coward
        
        * 女子供などという時代遅れの差別発言を恥ずかしいと思っていない
        * PCを持ってるだけで自分はしゅごい！と思っている
        * その割にクラウドの存在すら知らない
        絵に書いたような老害だな。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        女子供老害だよな
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    絵に描いたような電子計算機損壊等業務妨害罪の事案だと思うが。以下Wikipediaの説明。
    業務に使用するコンピュータの破壊、コンピュータ用のデータの破壊、コンピュータに虚偽のデータや不正な実行をするなどの方法により、コンピュータに目的に沿う動作をしないようにしたり、目的に反する動作をさせたりして、業務を妨害する行為が当たる。DoS攻撃を行い、コンピュータによるサービス提供を妨害する行為や、RMTを目的として、オンラインゲーム運営企業の保有するサーバ上で不正にプログラム、データを操作する行為、ユーザエージェントを偽装したサポート外のウェブブラウザからのアクセスが原因で会員制サイトにシステム障害が発生した場合も本件に当たる。
    なお「業務」は営利行為とは限っておらず、「データを消されたのでスマホゲームの期間限定ガチャを引けなかった」というのも立派な業務妨害にあたる。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      それって過失でも適用されちゃうの？
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        「次間違えたらデータ消去されるぜ！」という注意書きを無視して続行したら故意になるんじゃないか。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        本人の許可なしに、本人以外の者が何らかの意図をもってパスコードを入力している時点で、既に過失の域を超えている気がするが・・・・・
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        パスコードを入力したらどんな罪になるの？
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        人の携帯をかってにいじるのが犯罪にならないとでも思っているのか。すごいな。
        とりあえずパスワード云々以前に、他人のモノを同意なく使っている時点で窃盗罪だ。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        数多の彼女は違反しまくりだな
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        本当に過失だったとしても、警察にかかったら故意だったことにされるに決まってるのでは
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    会社で支給しているiOS・Android端末でも有効にしています
    他人のイタズラで消える人よりも、自分で誤って消す方が圧倒的に多いようです
    TouchID搭載モデルは、たまに聞かれるパスワードが判らない、TouchID非搭載モデルでは単純に間違える
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    自分もしてる。
    ちなみに、連続して１０回は打てない。
    確か５回くらいから、時間制限食らう。次の試行まで１０分待て、見たいな。
    だから、イタズラで短時間でワイプするとかは無理だろう。
バキュラじゃないんだから (スコア:0)

by Anonymous Coward on 2018年06月27日 16時58分 (#3433399)

ちなみに256発ぶち込んでも破壊できません。
炎のコマ！ (スコア:0)

by Anonymous Coward on 2018年06月27日 16時59分 (#3433401)

やっぱ無理だよね。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  書こうと思ったら書かれていた
  絶望
  ・・・気を取り直して
  ターミネータ2のATM破りでこんなことやっていたような
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    009（と002）にやってもらいたかった。
さもありなん (スコア:0)

by Anonymous Coward on 2018年06月27日 23時14分 (#3433645)

カタログスペック的には「10回間違えたらデータ消去」だけど、連打速度によっては無力化できる、とかあってもおかしくない。
Enter連打でパスワードなしにrootログインできるOSを作ってた会社だしね。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  それが出来ると思って騒いでたら実際には入力そのものが無効になっててやっぱり出来ませんでした、てのが今回の内容だよ
やっぱり (スコア:0)

by Anonymous Coward on 2018年06月28日 9時36分 (#3433770)

総当たりより引きちぎるのが一番だよね？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  9998まで総当たりする前ならなｗ
これって・・・ (スコア:0)

by Anonymous Coward on 2018年06月28日 17時29分 (#3434083)

マルチスレッドで同一変数の内容を更新する時の問題な感じ？
lock(obj){
間違い回数++;
}

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

「高速にパスコードを入力して総当たりでロックを解除する」というiOSのロック解除手法は現実には使えない 29

「高速にパスコードを入力して総当たりでロックを解除する」というiOSのロック解除手法は現実には使えない More ログイン

イタズラ禁止 (スコア:1)

Re:イタズラ禁止 (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:イタズラ禁止 (スコア:1)

Re:イタズラ禁止 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

バキュラじゃないんだから (スコア:0)

炎のコマ！ (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

さもありなん (スコア:0)

Re: (スコア:0)

やっぱり (スコア:0)

Re: (スコア:0)

これって・・・ (スコア:0)

スラド