パスワードを忘れた? アカウント作成
13633147 story
iOS

「高速にパスコードを入力して総当たりでロックを解除する」というiOSのロック解除手法は現実には使えない 29

ストーリー by hylom
さすがにダメだったか 部門より
あるAnonymous Coward曰く、

先日、Hacker Houseの共同設立者のMatthew Hickey氏は、「iOSのセキュリティ機能を回避して、パスコードを総当たり攻撃で突破できる脆弱性が発見された」と発表した。iOSには間違ったパスコードが10回入力されると端末のデータをすべて消去する機能があるが、パスコードを短時間で一気に送信することで、データ消去が実行される前にロックを解除できるという内容なのだが、この指摘は正しくないとAppleなどが反論している(iPhone ManiaCNETSlashdot)。

ほかの研究者などの指摘によると、入力が早すぎる場合入力したデータがセキュリティプロセッサに送信されないことがあり、そのため高速な総当たりによるパスコード突破は現実的には行えないようだ。

  • by nemui4 (20313) on 2018年06月27日 16時43分 (#3433382) 日記

    >iOSには間違ったパスコードが10回入力されると端末のデータをすべて消去する機能があるが、

    ここに返信
    • by 90 (35300) on 2018年06月27日 19時07分 (#3433511) 日記

      そのためのiCloudと、iCloud上データの暗号化です。Chrome OSみたいな感覚で使うとよいのでは?

    • by Anonymous Coward

      その時点で攻撃されてるわけですから仕方ないかな。
      他の人が触れる状態にするのはダメってことですね。
      もしくはケース自体に物理的なロック機能を持たせるとか。

      • by Anonymous Coward

        .50calで物理ロックを突破される脆弱性が発見されるんですね。

    • by Anonymous Coward

      こんなの有効にする人いるの?

      ちなみにイタズラ目的でやった場合、日本ではどんな法律に触れるだろうか。
      まさか消えるとは…という言い訳は可とする。

      • by Anonymous Coward on 2018年06月27日 17時18分 (#3433418)

        普通してるもんじゃないの?知らんけど。
        俺はしてるよ、別にiPhoneにだけ入れておく情報なんてないし、家のバックアップですぐに戻せるし。

        • by nemui4 (20313) on 2018年06月28日 10時23分 (#3433812) 日記

          >俺はしてるよ、別にiPhoneにだけ入れておく情報なんてないし、家のバックアップですぐに戻せるし。

          クラウドじゃなくて、家で物理メディアにバックアップだと手堅そう。
          毎週バックアップで四世代くらいで回してるんすかね。

          昔のPDAだとそんな感じで、定期的に母艦に繋いでバックアップ取ってたっけ。
          iPhoneって今でも母艦形式でlocalで個別に管理できるんだっけ。(Mac経由?)

      • by Anonymous Coward

        絵に描いたような電子計算機損壊等業務妨害罪の事案だと思うが。以下Wikipediaの説明。

        業務に使用するコンピュータの破壊、コンピュータ用のデータの破壊、コンピュータに虚偽のデータや不正な実行をするなどの方法により、コンピュータに目的に沿う動作をしないようにしたり、目的に反する動作をさせたりして、業務を妨害する行為が当たる。DoS攻撃を行い、コンピュータによるサービス提供を妨害する行為や、RMTを目的として、オンラインゲーム運営企業の保有するサーバ上で不正にプログラム、データを操作する行為、ユーザエージェントを偽装したサポート外のウェブブラウザからのアクセスが原因で会員制サイトにシステム障害が発生した場合も本件に当たる。

        なお「業務」は営利行為とは限っておらず、「データを消されたのでスマホゲームの期間限定ガチャを引けなかった」というのも立派な業務妨害にあたる。

        • by Anonymous Coward

          それって過失でも適用されちゃうの?

          • by Anonymous Coward

            「次間違えたらデータ消去されるぜ!」という注意書きを無視して続行したら故意になるんじゃないか。

          • by Anonymous Coward

            本人の許可なしに、本人以外の者が何らかの意図をもってパスコードを入力している時点で、既に過失の域を超えている気がするが・・・・・

            • by Anonymous Coward

              パスコードを入力したらどんな罪になるの?

              • by Anonymous Coward

                人の携帯をかってにいじるのが犯罪にならないとでも思っているのか。すごいな。
                とりあえずパスワード云々以前に、他人のモノを同意なく使っている時点で窃盗罪だ。

              • by Anonymous Coward

                数多の彼女は違反しまくりだな

          • by Anonymous Coward

            本当に過失だったとしても、警察にかかったら故意だったことにされるに決まってるのでは

      • by Anonymous Coward

        会社で支給しているiOS・Android端末でも有効にしています
        他人のイタズラで消える人よりも、自分で誤って消す方が圧倒的に多いようです
        TouchID搭載モデルは、たまに聞かれるパスワードが判らない、TouchID非搭載モデルでは単純に間違える

      • by Anonymous Coward

        自分もしてる。
        ちなみに、連続して10回は打てない。
        確か5回くらいから、時間制限食らう。次の試行まで10分待て、見たいな。
        だから、イタズラで短時間でワイプするとかは無理だろう。

  • by Anonymous Coward on 2018年06月27日 16時58分 (#3433399)

    ちなみに256発ぶち込んでも破壊できません。

    ここに返信
  • by Anonymous Coward on 2018年06月27日 16時59分 (#3433401)

    やっぱ無理だよね。

    ここに返信
    • by Anonymous Coward

      書こうと思ったら書かれていた
      絶望

      ・・・気を取り直して
      ターミネータ2のATM破りでこんなことやっていたような

      • by Anonymous Coward

        009(と002)にやってもらいたかった。

  • by Anonymous Coward on 2018年06月27日 23時14分 (#3433645)

    カタログスペック的には「10回間違えたらデータ消去」だけど、連打速度によっては無力化できる、とかあってもおかしくない。
    Enter連打でパスワードなしにrootログインできるOSを作ってた会社だしね。

    ここに返信
    • by Anonymous Coward

      それが出来ると思って騒いでたら実際には入力そのものが無効になっててやっぱり出来ませんでした、てのが今回の内容だよ

  • by Anonymous Coward on 2018年06月28日 9時36分 (#3433770)

    総当たりより引きちぎるのが一番だよね?

    ここに返信
    • by Anonymous Coward

      9998まで総当たりする前ならなw

  • by Anonymous Coward on 2018年06月28日 17時29分 (#3434083)

    マルチスレッドで同一変数の内容を更新する時の問題な感じ?
    lock(obj){
    間違い回数++;
    }

    ここに返信
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...