אפל הגיבה בשבת לדיווחים המצביעים על כך שחוקר אבטחה גילה עוקף פשוט לביצוע של הגנות קוד סיסמה של iOS, ואמרה שהפגיעות כביכול היא למעשה תוצאה של בדיקה שגויה.
ביום שישי, חוקר האבטחה מתיו היקי פירט את אשיטת עקיפתאמצעי הנגד המובנים של האייפון לפריצות קוד סיסמה בכוח.
באופן ספציפי, היקי אמר ששליחת קודי סיסמה בהמוניהם באמצעות Lightning לאייפון או אייפד נעול מפעילה בקשת פסיקה שמקבלת תקדים על פני פעולות אחרות במכשיר. בתרחיש כזה, האקר יקיש את כל שילובי קוד הסיסמה האפשריים שנמנו מ-0000 עד 9999, או 000000 עד 999999 במקרה של קוד בן שש ספרות, כמחרוזת אחת רצופה ללא רווחים.
באמצעות המנגנון הפעיל לכאורה הזה, היקי אמר שמשתמש מרושע יוכל לעקוף את אמצעי ההגנה המובלעת המאובטחת של אפל, כולל עיכובים המיושמים בין כניסות קוד סיסמה שגויות ואפשרות למחוק לחלוטין את נתוני המכשיר המאוחסנים לאחר עשרה ניסיונות כושלים רצופים.
אפל בהצהרה לAppleInsiderאמר שהטענות של היקי שגויות.
"הדיווח האחרון על עקיפת קוד סיסמה באייפון היה שגוי, ותוצאה של בדיקות שגויות", אמרה אפל.
ההצהרה מגובה לכאורה בפוסט בטוויטר של היקי, שביום שבת תיקן את הצהרותיו המקוריות כדי להסביר את הפריצה כביכולעלול לא לתפקדכפי שחשבו בתחילה.
"נראה ש-@i0n1c אולי נכון, הפינים לא תמיד מגיעים ל-SEP במקרים מסוימים (בשל חיוג כיס / כניסות מהירות מדי) אז למרות שזה 'נראה' כאילו נבדקים פינים הם לא תמיד נשלחים ולכן הם אל תספור, המכשירים רושמים פחות ספירות מאשר גלויות", אמר בציוץ.
לא ידוע אם אפל יצרה קשר עם היקי, אם כי החוקר ביום שישי אמר שהוא יצר קשר עם החברה לאחרונה בנוגע לניצול לכאורה.
היקי ממשיך לבחון את הנושא, אם כי הממצאים הראשוניים שלו עדיין לא שוכפלו או אושרו על ידי צד שלישי.
בכל מקרה, אפל מחפשת להפוך את כל ניצולי האייפון והאייפד הקשורים ל-USB מיושנים עם עדכון תוכנה קרוב בסתיו הקרוב. ה-iOS 12 של החברה משלב "מצב מוגבל USB" חדש שמנטרל חיבורי נתונים עם קווי USB אם לא מסופק קוד סיסמה נכון לאחר פרק זמן שנקבע מראש. באיטרציות הבטא הנוכחיות, חלון הזמן הזה עומד על שעה אחת.
לפי אפל, התכונה החדשה היאנועד לשבשגישה לא מוצדקת לאייפון על ידי האקרים וממשלות שלא מעניקות לאזרחיהן את אותן ההגנות כמו חוקי ארה"ב.
