La scoperta di un metodo apparentemente semplice per sfruttare la porta Lightning degli iPhone ed effettuare un attacco Brute Force ha fatto molto discutere, tanto che Apple è intervenuta direttamente smentendo la notizia.
Secondo il ricercatore di sicurezza Matthew Hickey, fino ad iOS 11.3 è presente una vulnerabilità USB che consente di effettuare un attacco Brute Force su iPhone bypassando tutte le protezioni del sistema. Per effettuare questo attacco, ed accedere quindi ai dati dell’iPhone pur non conoscendo la password, sarebbe sufficiente avere a disposizione il dispositivo e un connettore Lightning. Con questo hack sarebbe quindi possibile effettuare infiniti tentativi di inserimento password, senza che iOS attivi il ritardo implementare tra una digitazione errata e l’altra e senza che vengano cancellati i dati dopo 10 tentativi falliti consecutivamente.
In una dichiarazione rilasciata ad AppleInsider, Apple smentisce questa notizia: “Il recente report sulla possibilità di bypassare le password su iPhone è errato ed è il risultato di test errati“.
La dichiarazione fornita da Apple è stata supportata anche da altri esperti di sicurezza e dallo stesso Hickey, che in un nuovo tweet pubblicato sabato pomeriggio ha spiegato che il “presunto hack potrebbe non funzionare come inizialmente pensato“:
Sembra che @i0n1c abbia ragione, in alcuni casi i pin non vanno sempre in SEP (a causa di input troppo veloci) quindi sebbene “sembri”che i pin siano testati, non vengono sempre inviati e quindi non contano, e i dispositivi registrano meno conteggi di quelli visibili
Non si sa ancora se Apple abbia comunicato con Hickey dopo la pubblicazione del so report, anche se il ricercatore ha dichiarato di aver recentemente contattato l’azienda dopo la scoperta di questo presunto exploit.
Hickey ha poi dichiarato che continuerà a esaminare il problema, anche se i suoi risultati iniziali vanno a questo punto messi completamente da parte.
