![]() |
IP Box craquea tu passcode |
Después de lograr crackear el passcode se tendrá acceso completo al dispositivo. Es importante entender que opciones de seguridad como el borrado del dispositivo tras 10 intentos fallidos, ayudan a proteger dispositivos críticos, aunque según indican los propietarios de esta caja, ésta funciona incluso si esa opción está marcada, ya que corta directamente la alimentación del dispositivo. Además, en un dispositivo crítico es recomendable, y casi totalmente necesario, tener un passcode complejo que mezcle letras, números y caracteres especiales y un tamaño superior a 8 caracteres.
La caja automatiza el tedioso proceso manual de introducir secuencialmente cada código de acceso, del 0000 al 9999. Para ello, se utiliza una conexión USB y un sensor de luz que indica cuando el dispositivo ha sido desbloqueado con éxito. La caja implementa la vulnerabilidad CVE-2014-4451 con la que se puede intentar múltiples contraseñas diferentes. Esta vulnerabilidad fue encontrada el año pasado por Stuart Ryan, y significó que iOS no se diera cuenta de que habían introducido un passcode incorrecto si el botón de inicio era pulsado casi al mismo instante de fallar al meter el passcode. De este modo el dispositivo no recordaba dicho fallo.
Figura 1: Demo de IP Box crackeando el passcode de un iPhone 6
En el vídeo se puede visualizar un crackeo que dura unos 30 segundos con el que se demuestra que el ataque de fuerza bruta al hardware funciona. Hay que tener en cuenta aspectos como los comentados anteriormente, sobretodo la posibilidad de utilizar un passcode complejo y con más de 8 caracteres.
Otro ejemplo similar en el pasado de ataque de fuerza bruta al passcode de iOS es el que se usó con Rubber Ducky con el fin de simular la interacción humana. Los sistemas operativos ofrecen demasiada confianza en las pulsaciones de teclado, por lo que dispositivos que abusan de la interfaz HID no pueden ser detectados.
No hay comentarios:
Publicar un comentario