För att säkra mobilen (och alla dess inloggade konton) måste mobilen skyddas med ett bra skärmlås. En fyr- eller sexsiffrig pinkod kan inte klassas som ett bra sådant. Det finns trots allt bara 10 000 olika fyrsiffriga koder, vilket gör att en angripare kan testa alla för att se vilken som är den rätta.
En Iphone ska normalt låsa sig själv ifall många felaktiga koder anges i följd. Nu har säkerhetsforskaren Matthew Hickey hittat ett sätt att gå runt den automatiska låsningen genom att skicka koderna som tangentbordsinmatningar. På grund av en säkerhetsbugg i IOS låser då inte mobilen sig efter för många felaktiga inmatningsförsök. Matthew visar i en film hur han kan fortsätta testa koder tills hans automatiska attackverktyg har hittat den rätta.
Uppdatering! Matthew har tyvärr avpublicerat filmen.
Lyckligtvis är utnyttjande av denna säkerhetsbugg lätt att förhindra. Alla moderna Iphone-modeller erbjuder biometrisk inloggning med antingen fingeravtryck eller ansiktsavkänning. Genom att aktivera biometrisk inloggning behöver användaren sällan ange sin kod och kan därför byta till en längre sådan utan att det orsakar större besvär. Undertecknad har en tolv tecken lång kod och störs inte av det, eftersom jag enbart behöver ange den någon enstaka gång per vecka.
Byt till lösenord
Med attackvägen som Matthew har hittat tar det lång tid att testa en enskild kod. Ponera att attacken skulle kunna effektiviseras så att den kan testa 1000 koder per timme. Med ett tolv tecken långt lösenord som kod skulle det ändå ta över en biljard år att testa alla kombinationer. Att hitta rätt kod skulle i genomsnitt ta en halv biljard år (gäller under förutsättning att kodens tecken är helt slumpvalda).
Om du oroar dig för denna sårbarhet behöver du bara byta din fyr- eller sexsiffriga pinkod till ett lagom långt lösenord så är problemet borta. Öppna Inställningar och välj Touch ID och lösenkod eller Face ID och lösenkod (beroende på modell). Apple kommer för övrigt att vidta extra säkerhetsåtgärder mot USB-attacker, något Kryptera.se rapporterat om tidigare.
Uppdatering 2018-06-25
Matthew konstaterade under helgen att säkerhetsbuggen inte var fullt så allvarlig som han först trodde. Alla kodförsök registreras nämligen inte trots att det ser ut så på filmen. Trots detta kvarstår vår rekommendation att byta från pinkod till lösenord.
Källa: Matthew Hickey, via ZDnet
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.