Durante o fim de semana, uma suposta falha de segurança grave envolvendo o desbloqueio de dispositivos da Apple foi divulgada e rapidamente desmentida pela companhia. Na sexta (22), o pesquisador na área de segurança Matthew Hickey afirmou que seria capaz de burlar a função “Apagar Dados” e tentar desbloquear um iPhone quantas vezes fosse necessário para conseguir acesso aos dados dele.
A ferramenta “Apagar Dados” deleta todos os arquivos do aparelho e limpa completamente o dispositivo quando alguém erra o código PIN de desbloqueio muitas vezes. Isso é feito para evitar que uma pessoa na posse de um celular roubado, por exemplo, fique tentando combinações diferentes de senhas até acertar.
Em uma série de tweets, Hickey disse que seria capaz de burlar essa medida de segurança ao conectar o iPhone a um computador e enviar todas as possíveis as senhas em uma única série de comandos. Ele gravou o vídeo abaixo mostrando a suposta falha, que estaria presente até mesmo no iOS 11.3, a versão mais recente do sistema operacional móvel da Apple.
Apple IOS <= 12 Erase Data bypass, tested heavily with iOS11, brute force 4/6digit PIN's without limits (complex passwords YMMV) https://t.co/1wBZOEsBJl - demo of the exploit in action.
— Hacker Fantastic (@hackerfantastic) 22 de junho de 2018
No entanto, a Apple deu uma reposta quando o caso começou a chamar atenção na internet. No sábado (23), uma porta-voz da empresa disse que a suposta falha era um erro e foi resultado de testes incorretos por parte do pesquisador. Hickey acabou admitindo que pode mesmo ter cometido um erro durante os testes.
“Eu voltei e chequei novamente todos os códigos e testes. Quando eu enviava códigos para o celular, parecia que vinte ou mais eram inseridos, mas, na realidade, apenas quatro ou cinco eram realmente enviados para serem checados”, disse o pesquisador.
Uma porta-voz da Apple disse que a suposta falha era um erro e foi resultado de testes incorretos por parte do pesquisador.
Aparentemente, a velocidade das entradas era tão rápida que o iPhone não registrava todas. No vídeo, Hickey deixa o programa criado por ele testar algumas senhas automaticamente antes de inserir manualmente o código correto. Acontece que o iPhone não chegou a realmente registrar as tentativas anteriores e não iria desbloquear mesmo que o código certo fosse inserido em uma delas.
De qualquer forma, a Apple promete continuar melhorando a segurança dos seus dispositivos com atualizações do sistema operacional. No iOS 12, uma função chamada USB Restricted Mode vai desativar a porta Lightning do iPhone quando ele passar mais de sete dias sem ter sido desbloqueado.
Fontes