Хакер опубликовал способ подбора pin-кодов к iPhone без дополнительных устройств
Недавняя история с устройством для подбора pin-кода к iPhone так впечатлила известного хакера и разработчика jailbreak для iOS Мажида Альфхайли, что он задумался – а нельзя ли всё-таки сделать программный подбор pin-кода к устройству, да ещё и быстрее, чем один pin за 40 секунд? Оказалось – можно. Единственное требование – устройство должно быть подвергнуто jailbreak.
Сначала разработчик написал следующий код для перебора всех паролей с 0000 до 9999:
Затем в дампе SpringBoard он нашёл класс SBDeviceLockController с методом
Затем он сделал библиотеку, подключающуюся к процессу SpringBoard и запускающую вышеуказанный код по окончанию процесса, и вызывающую attemptDeviceUnlockWithPassword:appRequested для каждого нового pin-кода.
Всё работало, за исключением того, что после 10 попыток телефон блокировался. После дополнительного исследования хакер нашёл в классе SBFDeviceLockController методы
После переопределения этих методов таким образом, чтобы они возвращали NO, код заработал в полную силу. 10 попыток не блокируют устройство, проверка одного pin-кода занимает 5 секунд – то есть, проверка всех четырёхзначных кодов займёт не более 14 часов. Теперь хакер работает над автоматической утилитой, которая сможет отправлять этот код на устройство через USB.
Вывод: чем длиннее и сложнее пароль, тем выше ваша безопасность. Впрочем, это и так было очевидно.
Источник
Обнаружен способ обхода защиты от перебора пароля на iPhone/iPad. На самом деле — нет
Атака позволяет злоумышленникам осуществлять любое количество попыток ввода пароля на заблокированном устройстве Apple без риска, что сработает защитный механизм, стирающий все данные.
С тех пор, как в 2014 году была выпущена iOS 8, все айфоны и айпады используют шифрование. Часто защищённые 4- или 6-значным паролем эти устройства становятся практически неуязвимыми для взлома, благодаря сочетанию программных и аппаратных средств безопасности. В случае превышения допустимого числа попыток ввода пароля все данные с устройства удаляются.
Но Мэтью Хики, исследователь безопасности и сооснователь компании Hacker House нашёл способ обойти ограничение в 10 попыток и ввести столько паролей, сколько захочет — даже на iOS 11.3.
Атакующему нужен лишь включенный заблокированный смартфон и Lightning-кабель.
В обычных условиях на айфонах и айпадах ограничено количество попыток ввода пароля в минуту. Последние устройства Apple содержат отдельный чип для защиты от брутфорс-атак, который подсчитывает, сколько попыток ввода пароля было сделано, и замедляет ответную реакцию с каждой новой ошибкой.
Хики сумел обойти эту защиту. Он объяснил, что когда айфон или айпад подключены, и атакующий посылает нажатия клавиш, это вызывает срабатывание прерывания, которое имеет наивысший приоритет на устройстве.
Вместо того, чтобы отправлять пароли по одному и ждать ответа, отправьте их все сразу. Если вы запустите брутфорс-атаку одной длинной строкой, она будет обработана целиком как одна попытка ввода пароля, что позволит избежать обнаружения подбора и удаления данных.
Атакующий может отправить все пароли за один раз, перечислив их в одну строку без пробелов. Из-за того, что это не даёт программному обеспечению перерывов, процесс обработки клавиатурного ввода удерживает более высокий приоритет, не давая запуститься процессу подсчёта попыток ввода и удаления данных с устройства. Это означает, что атака возможна только после загруки устройства, говорит Хики, так как тогда запущено больше программ.
В готовящемся обновлении iOS 12 будет представлен режим ограничения USB, который сделает невозможным использование порта ни для чего, кроме зарядки устройства, если прошло более часа с момента последней разблокировки. Это ограничит возможности эксплуатации найденной уязвимости, так как в ходе брутфорс-атаки на проверку каждого пароля тратится 3-5 секунд, что позволит за час подобрать только четырёхзначный пароль, но не шестизначный.
Хики отправил Apple письмо с описанием уязвимости, но пока не получил ответа.
Найти этот баг было несложно. Думаю, и другие справятся, либо уже сделали это.
Мэтью написал в своём Твитере, что Apple начала расследование на основе предоставленной им информации, в ходе которого они, возможно, объяснят такое поведение смартфона, а также назовут существующие меры защиты от продемонстрированной атаки, не замеченные им.
Пресс-секретарь Apple Мишель Уаймен заявила, что недавний отчёт о способе обхода защиты на айфоне является ошибкой и результатом некорректного тестирования.
Хики написал позже в своём Твитере, что, похоже, не все передаваемые пароли фактически доходили до устройства:
Пароли не во всех случаях попадали в модуль безопасности. То есть, хотя это выглядело, как будто они были введены, на самом деле они не были проверены устройством на коррректность и не увеличивали счётчик попыток входа.
Хики благодарит Стефана Эссера за помощь.
Я вернулся к повторной проверке кода и процесса тестирования. Когда я отправлял пароли на смартфон, казалось, что 20 и более из них были введены, но на самом деле для проверки в устройство отправлялись лишь 4-5 паролей.
Источник
Устройство для подбора pin-кодов к iPhone
Английские специалисты по безопасности обнаружили в продаже хитрое устройство IP-BOX для брутфорса pin-кодов iPhone. Стоит оно £200, а его особенность заключается в способности обойти ограничение в настройках на 10 попыток ввода. Если включить эту опцию, то после 10 неправильных попыток смартфон обычно затирает память. Но не в этом случае.
Хитрость заключается в необычном подключении устройства. Для ввода кодов оно включается в стандартный порт iPhone, для определения того, что код подошёл, используется фотодатчик, который прикрепляется к экрану. А для того, чтобы счётчик кодов не уменьшался, у смартфона нужно отключить аккумулятор и подавать питание с устройства. В результате, после каждого неправильного ввода PIN-кода устройство успевает оборвать цепь питания раньше, чем уменьшится счётчик оставшихся попыток.
Внутренности устройства
Адаптер для подключения iPhone
Естественно, после каждого обрыва и восстановления питания приходится ждать, пока телефон загрузится заново. В результате на проверку одного кода уходит около 40 секунд. Это значит, что на проверку всех 4-хзначных кодов может уйти до 111 часов.
Очевидное решение этого пробела в безопасности устройства — уменьшение счётчика попыток ввода кода до того, как осуществляется проверка кода на правильность. А пока на устройствах версий до 8.1 включительно волшебная коробочка работает успешно. Но в любом случае, если поставить достаточно длинный pin-код, такой брутфорс уже не будет иметь смысла. Например, на подбор таким способом 8-знакового pin может уйти до 125 лет.
Источник
Демонстрация брутфорса пароля iPhone 5c c зеркалированием флэш-памяти
В апреле 2016 года ФБР и Apple устроили настоящее шоу вокруг телефона iPhone 5c стрелка из Сан-Бернардино, для которого якобы никак не удавалось подобрать пароль без помощи компании Apple.
ФБР давило на Apple, требуя технической помощи. Тим Кук опубликовал открытое письмо, в котором обвинил ФБР в принуждении Apple встроить бэкдор в iOS. Дело дошло до Конгресса и Сената США, проблему обсуждали все крупнейшие американские СМИ и телеканалы. Мир с замиранием сердца следил за санта-барбарой и гадал: даст Apple федералам или не даст доступ к криптосистеме iPhone.
iPhone защищён от брутфорса через опцию уничтожения данных на устройстве после десяти некорректных попыток ввода и увеличивающееся время задержки между наборами кода разблокировки (5 секунд после 5 попыток, затем 1 минута, 5 минут, 15 минут и 60 минут).
Защиту логично обойти путём копирования флэш-памяти с брутфорсом сделанных копий (NAND mirroring), но специалисты ФБР почему-то не смогли провести такую атаку. Они обратились к АНБ — те тоже не смогли помочь.
После длительных безуспешных попыток давления на Apple ФБР заплатило больше $1 млн хакерам (предположительно, из Израиля), которые предложили рабочий метод брутфорса пароля iPhone 5c. Источники сообщили тогда, что смартфон был взломан с использованием ранее неизвестной (0day) уязвимости в iOS 9. Несмотря на требование компании Apple, ФБР до сих пор не обнародовало информацию об уязвимости, чтобы Apple могла устранить её — такая месть по-фбровски.
Директор ФБР сказал, что копирование NAND не применялось, потому что оно не работает.
Теперь один простой хакер сделал то, что не могли сделать специалисты ФБР и АНБ. Сергей Скоробогатов из Кембриджского университета (Великобритания) наглядно показал, как осуществляется брутфорс пароля iPhone 5C после копирования флэш-памяти. Научная работа по криптографии опубликована в свободном доступе на сайте arXiv.org.
Согласно схеме шифрования iOS, пароль пользователя и уникальный ключ UID применяются для генерации ключа к системному хранилищу System Keybag. Ключ UID аппаратно прописан в SoC и недоступен на программном уровне, поэтому невозможно провести брутфорс, не имея доступа к конкретной микросхеме.
Хотя архитектура iPhone 5c держится в секрете, на форумах можно найти схемы и наименования микросхем iPhone 5c, iPhone 6 и др., с цоколёвкой NAND. Но Сергей Скоробогатов предупреждает, что некоторые контакты VCCQ и GND поменяли местами, так что по той распиновке можно безвозвратно повредить микросхему. Для изучения протоколов и команд понадобится осциллограф и логический анализатор.
В демонстрационном видеоролике Сергей показывает, как разобрать iPhone, извлечь микросхему с чипом флэш-памяти, отпаять её паяльным феном и клонировать данные. Подобную инструкцию по разбору iPhone 5C см. на iFixit.
SoC A6 и микросхема NAND находятся разных сторонах материнской платы. Между NAND и платой расстояние примерно 0,05 мм. Для извлечения потребуется специальный тонкий нож и паяльный фен с температурой более 300°C.
Все мелкие компоненты вокруг чипа были предварительно защищены температуростойкой эпоксидной смолой.
Подготовка к извлечению NAND
Высокая температура не повреждает данные во флэш-памяти. Проведённые ранее исследования показали, что она выдерживает до 400°C.
Извлечённый модуль NAND
Для проверки работоспособности каждый контакт модуля NAND соединяют с материнской платой проводами 0,3 мм c тефлоновой изоляцией (МГТФ).
Затем материнскую плату вставили на место, а для проводов с извлечённым модулем NAND в корпусе вырезали дырку.
В первое время телефон сильно глючил. Сергей выяснил, что это из-за помех в длинных проводах.
Сигнал с помехами
Пришлось добавить согласующие резисторы на все сигнальные провода. Тогда сигнал выровнялся и телефон перестал глючить.
Сигнал без помех
Дальше инженер из Кембриджского университета вставил промежуточную плату для прослушки сигнала, подключил осциллограф и логический анализатор для реверс-инжиниринга протокола и команд iPhone 5c.
Промежуточная плата для прослушки
Здесь опять возникли проблемы с целостностью сигнала, на этот раз из-за входной и выходной электрической ёмкости буферных элементов 74LVC и 74AVC в 4 пФ и 6 пФ. Пришлось заменить их на элементы с меньшей ёмкостью 74AUP и 74AXP.
В конце концов, исследователю всё-таки удалось подготовить iPhone 5с к реверс-инжинирингу. К этому моменту он, очевидно, зашёл уже дальше, чем удалось зайти специалистам ФБР и АНБ.
iPhone 5c с логическим анализатором
Дальнейшее было делом техники. Оказалось, что iPhone 5c использует разные интерфейсы и команды на разных этапах загрузки, в том числе недокументированные проприетарные команды на тактовой частоте 50 МГц. В конце концов, логический анализатор записал все команды и помог определить особый проприетарный протокол, который используется для коммуникации с NAND.
Сергей Скоробогатов научился считывать, стирать и записывать память NAND по своему желанию. Это всё, что необходимо для успешного брутфорса пароля.
Испытательный стенд для копирования NAND
Программа для брутфорса пробует шесть вариантов пароля, пока не появляется задержка в 1 минуту, тогда автоматически начинается процесс восстановления памяти из резервной копии (чтобы сбросить счётчик, защищающий от брутфорса), затем брутфорс продолжается. Цикл восстановления после 6 попыток занимает 90 секунд. Таким образом, полный перебор всех вариантов пинкода из четырёх цифр займёт около 40 часов.
Программа для зеркалирования NAND для iPhone 5c
Такой метод брутфорса не работает в более новых моделях iPhone, куда встроена дополнительная защита Secure Enclave. Но вполне можно предположить, что коллеги Сергея Скоробогатова из компании Elcomsoft и других фирм, которые специализируются на взломе смартфонов, в том числе по заказу спецслужб, уже решают эту проблему.
Источник
