IOS 11.4.1: iPhone passord kan fortsatt ikke være helt trygt fra hackere

Mandagens utgivelse av IOS 11.4.1-programvareoppdateringen inkluderte de typiske feilrettingene, men også introduksjonen av USB-begrenset modus - Apples nyeste anti-hacking-funksjon. Denne forholdsregelen ble utformet for å holde en USB-tilkobling fra å laste ned data via Lightning-porten for å sprenge iPhone- eller iPad-passordet, til glede av personvernsaktivister.

Når det er sagt, har et team av sikkerhetsforskere ved det russiske firmaet ElcomSoft hevdet å ha oppdaget en måte å holde USB-begrenset modus fra å sparke i det hele tatt.

Ifølge den digitale forensikkseksperten Oleg Afonin, vil dette bare skjule tiltaket dersom det ikke har vært forlovet. Til dette formål har firmaet funnet "ingen åpenbar måte" for å bryte USB-begrenset modus når den allerede er aktiv.

iOS 11.4.1 Update: Hva gjør USB-begrenset modus?

Verktøy som GrayKey, gjorde det mulig for lovhåndhevelse og ondsinnede skuespillere å låse opp iPhone ved å siphone data fra enhetens Lightning-port.

Før USB-begrenset modus, ville iPhones og iPads deaktivere tilgang til data via Lightning-porten etter sju dager etter at telefonen eller nettbrettet var inaktiv for å begrense tiden noen kunne bruke kjeks som GrayKey. Dette nylig innførte sikkerhetsmålet kutter den tiden ned til en time.

Med USB-begrenset modus slått på, vil enheter som ikke har blitt låst opp i 60 minutter, vil bare være i stand til å lade ved hjelp av lynporten Hvis du prøver å synkronisere en spilleliste fra en bærbar datamaskin eller gjøre noe annet som krever tilgang til data, vil det resultere i en melding om passordet.

Oppdatering av iOS 11.4.1: Hva er løsningen?

Afonin hevder å ha oppdaget at denne timetimeren kan tilbakestilles ved å bare plugge iPhone eller iPad til en hvilken som helst Lightning til USB-adapter. Tilsynelatende kan selv Apples $ 39 Lightning to USB 3-kameraadapter brukes til å trekke av dette. Afonin hevder å være midt i å teste en medley av andre adaptere for å se om de er i stand til det samme.

"Det vi oppdaget er at iOS vil nullstille nedtellingstiden for USB-restriktiv modus, selv om man kobler iPhone til et usikkert USB-tilbehør, en som aldri har blitt koblet til iPhone før, sier han i et blogginnlegg. "Med andre ord, når politimannen griper inn en iPhone, må han eller hun umiddelbart koble den iPhone til et kompatibelt USB-tilbehør for å hindre at USB-begrenset modus låses etter en time."

Selvfølgelig krever dette smutthullet fortsatt en hacker eller politimyndighet for å få fysisk tilgang til en enhet innen en time etter at den er låst opp. Dette gjør det utvilsomt sikrere enn Apples tidligere syv-dagers lockout, men heller ikke helt idiotisk.

Mens Apple ikke umiddelbart reagerte på en forespørsel om kommentar, er det mer enn sannsynlig at denne sikkerhetsfeilen vil bli oppdatert i programvareoppdateringer som kommer.