苹果就最近报道的暴力破解iOS密码发表了声明,声称所谓“漏洞”完全是一种错误的结果。
上周五,安全研究人员Matthew Hickey详细介绍了一种绕过iPhone智能手机iOS系统内置密码保护的方法。Hickey将密码发送到一台被锁定的iPad或iPhone上,然后会触发一个中断请求,并且该请求有更高的优先级。在这样的场景中,破解者可以尝试从0000到9999之间所有可能的密码组合,或者在六位密码的情况下输入不包括空格的连续字符串,暴力破译密码。
Hickey表示,这种方法可以让入侵者能够绕过iOS系统的安全保护措施,包括连续10次输入错误秘密后设备锁定无法操作或者删除设备数据等措施。
苹果在一份声明中表示,Hickey的这种说法是错误的。“最近关于可以绕过iPhone密码方法的报道是错误的,这是基于一种错误测试的结果。”
随后Hickey也在Twitter对苹果的说法表示赞同,他也修改了周六时的说法,表示自己的这种方法可能不会像最初设想时发挥作用。“并非所有测试的PIN密码都会触发安全飞地处理器,虽然会出现过快输入或误拨的问题,这些PIN码看起来正在被逐项测试,但实际上信号可能并没有被发送出去,因此不会被计数,能看到的次数也比较少。简单的说就是尽管我们将各种密码字符串组合发送到手机上,但实际上只有其中很少一部分被记录并尝试破译。”
苹果是否已经与Hickey之间进行了沟通目前还不确定,但Hickey在上周曾表示自己已经与苹果取得了联系并报告了该漏洞。
Hickey同时表示自己发现的这个漏洞还没有被第三方验证或复制成功。
苹果已经在今年秋天发布的iOS 12正式版系统中清理了所有与USB相关的安全隐患。苹果在iOS 12系统中整合一种全新的“USB限制模式”,如果在预定的时间内没有提供正确的密码,就会禁用设备的USB数据传输功能。在目前的测试版iOS 12系统中,这个时间为1小时。
根据苹果的介绍,这一功能是为了阻止黑客和外部入侵者对iPhone的无授权访问。