اپل ادعای محقق امنیتی در رابطه با هک آسان آیفون را رد کرد

اخیرا محققی امنیتی مدعی هک رمز عبور آیفون با روشی ساده شده و حالا اپل به آن واکنش نشان داده است.

اپل برای تامین امنیت آیفون در برابر هکرها و سارقان به کاربران اجازه می دهد پسوردی ۴ تا ۶ حرفی را برای موبایل تنظیم کنند. در صورتی که دفعات وارد کردن اشتباه رمز از حد مشخصی فراتر برود تمام داده های روی موبایل به صورت خودکار پاک خواهد شد.

روزگذشته یک محقق امنیتی به نام «متیو هیکی» مدعی شده بود که به روش جدیدی برای عبور از این محدودیت و تست پسوردهای متعدد دست پیدا کرده که به ابزار خاصی هم نیاز ندارد.

در این روش به جای وارد کردن پسوردها به صورت جداگانه از طریق موبایل، دستگاه به کامپیوتر متصل شده و تمام رمزهای عبور برای مثال از ۰۰۰۰ تا ۹۹۹۹ در قالب یک رشته واحد و طولانی به آن تزریق می شوند.

آزمایش پسوردهای متعدد برای باز کردن قفل گجت «جستجوی خام» یا «بروت فورس» نام دارد که در آن دستگاهی به آیفون متصل شده و از ابتدا شروع به سنجیدن احتمالات می کند تا به رمز اصلی برسد.

کمپانی اپل برای جلوگیری از باز شدن قفل موبایل با استفاده از این روش از چیپ Secure Enclave بهره می برد که در آیفون ۵ اس معرفی شده و مدیریت رمزهای عبور را بر عهده دارد.ادعای این محقق در رابطه با دور زدن Secure Enclave با روشی ابتدایی می توانست امنیت آیفون کاملا زیر سوال ببرد و به همین خاطر اپل سریعا آن را ناشی از اشتباه این محقق عنوان کرده و به کاربران اطمینان داد که خطری دستگاه آنها را تهدید نمی کند. نکته جالب اینجاست که خود هیکی با انتشار توییت دیگری تا حدودی گفته های اپل را تایید کرد:

پین ها به خاطر سرعت بالای ورود داده یا تاخیر بسته ها همیشه به SEP نمی رسند، بنابراین برخلاف آنچه در نگاه اول به نظر می رسد از ۲۰ پسورد وارد شده تنها حدود ۴ یا ۵ مورد بررسی خواهند شد.

به عبارت دیگر هنگام ارسال رمزهای عبور در یک رشته طولانی تمام پسوردها بررسی نمی شوند و با توجه به درصد بالای نادیده گرفته شدن پین ها احتمال هک آیفون تا حد زیادی کاهش پیدا خواهد کرد.

اپل برای جلوگیری از نفوذ به آیفون با استفاده از بروت فورس در iOS 12 قابلیت جدیدی به نام USB Restricted Mode را معرفی کرده که به لطف آن در صورت باز نشدن قفل گوشی طی یک ساعت گذشته، تمام ارتباطات از طریق پورت USB قطع شده و فقط به عنوان شارژر از آن استفاده می شود.