Черный список легких PIN-кодов, который используют в iOS, оказался бесполезным для защиты iPhone и iPad. Об этом заявили немецкие и американские специалисты. Специалисты по информационной безопасности, возглавляемый Адамом Авивом из Университета Джорджа Вашингтона разведали, какие пароли Apple считает надежными.
Они узнали этот перечень с помощью робота на основе Raspberry Pi и LEGO и устроили эксперимент с людьми. Об обещают подробно рассказать на конференции IEEE SP2020, а краткое описание на странице авторов.
Как узнали пароли из черного списка
Простейший способ узнать запрещенные пинкоды - извлечь прошивки из кода. С помощью утилиты iExtractor специалисты получили список, но придумали способ интереснее. Методом простого перебора отсеяли все вероятные PIN-коды. Дабы не заниматься этим вручную, собрали устройство автоматического ввода и сбора данных с помощью микрокомпьютера Raspberry Pi Zero W, iPhone и камеры для микрокомпьютера. Корпус робота сделали из конструктора LEGO. Внизу лежит iPhone экраном вверх, а сверху - камера и Raspberry Pi. В iOS можно набирать текст с помощью клавиатуры. Микрокомпьютер эмулирует клавиатуру и выдает на экран установки PIN-кода комбинацию символов. Результат фиксирует камера и отправляет фото на компьютер. Распознав текст, алгоритм определяет, вносить ли PIN-код в черный список.
На составление черного списка с четырехзначным кодом потратили приблизительно девять часов, а с шестизначным - месяц, но данные во втором случае собирали на двух смартфонах. Оказалось, что в iOS 274 варианта слабых пинкодов для четырехзначных кодов и 2910 - для шестизначных. Обычно это простые комбинации вроде 1234, числа, расположенные на клавиатуре в одном ряду и даты с 1956 по 2015 год.
Вывод исследователей
Далее проверили безопасность длинных пинкодов. Добровольцы из Amazon Mechanical Turk придумали пароли в интерфейсе, похожем на тот, что в устройствах iOS. При этом им задавали параметры. Далее эти пароли взломали хакерскими методами. Черный список для подбора не использовали, но на первых 40 попытках шестизначные PIN-коды угадывали чаще, чем четырехзначные. Предположили, что короткие пароли люди запоминают лучше, а длинные делают легкими, чтобы не мучиться. Так и появляются комбинации вроде 123456.
КСТАТИ
Эксперт по кибербезопасности Никита Кныш: Нас часто просят взломать переписку жены или мужа
Как за нами следят через шнур от зарядки и нужно ли заклеивать веб-камеры.