מכשיר חדש יחסית של 300 דולר יכול לאפשר לתוקפים לפצח את קודי ה-PIN במכשירי אייפון או אייפד לא מעודכנים, תוך ניצול פגם בגרסאות iOS ישנות מ-8.1.1 המאפשר ניסיונות בלתי מוגבלים בהזנת PIN, גם כאשר משתמשים מאפשרים את ה-10 של אפל. -מגבלה לנסות.
מה שנקרא "תיבת IP"בָּדוּקעל ידי יועצת אבטחה MDSec פועלת על ידי הזנת PIN דרך USB, ואז ניתוק מיד את החשמל למכשיר ה-iOS לפני שהניסיון מתועד. יש לכך השפעה של ביטול מגבלת 10 הניסיונות, על חשבון זמן משמעותי שאבד לאתחול מחדש של מכשיר iOS.
MDSec מציב את הזמן לכל ניסיון בכמעט 40 שניות. למרות שהמרווח הארוך הזה עשוי להרתיע ניסיונות כוח גס בכל התרחישים מלבד כמה, מחקרמציעשיותר מ-25 אחוז מהאוכלוסיה משתמשת באחד מ-20 קודים דומים, מה שעלול לקצץ את הזמן הממוצע לפיצוח קוד PIN לדקות.
בנוסף, כלים כאלה זמינים בקלות דרך האינטרנט, כאשר דגמים מסוימים עולים רק 175 דולר.
כפי שהחברה מציינת, נראה שזו שיטה אוטומטית לניצול פגםמְתוּאָרבנובמבר האחרון ב-CVE-2014-4451. אפל תיקנה את הבאג הזה ב-iOS 8.1.1, אך גרסאות iOS ישנות יותר נותרו פגיעות.
למשתמשים המריצים גרסאות לא מתוקנות של iOS מומלץ לעבור לקוד סיסמה מורכב יותר כדי להפחית את הסכנה מהתקפות דומות. ניתן לעשות זאת על ידי ניווט להגדרות ← קוד גישה וכיבוי "קוד סיסמה פשוט", שיאפשר בחירה של קוד אלפאנומרי ארוך יותר.
