iOS 10.1.1のアクティベーションロックをバッファオーバーフロー攻撃で突破する方法が見つかる

紛失してしまった端末が勝手に使われてしまうことを防止できるiOSの機能に「アクティベーションロック」がありますが、記事作成時点で最新バージョンとなる「iOS v10.1.1」搭載のiPadのアクティベーションロックをバッファオーバーフロー攻撃という手法で突破しているムービーが研究者によって公開されています。

Apple iOS v10.1.1 - Access Permission via Buffer Overflow
https://www.vulnerability-lab.com/get_content.php?id=2018

実際にiOS 10.1.1の脆弱性を突いてアクティベーションロックを突破している様子は、以下のムービーから見ることができます。

Apple iOS v10.1.1 - iCloud & Device Lock Activation Bypass via local Buffer Overflow Vulnerability - YouTube


まずはアクティベーションロックがかけられたiPadを横向きにして電源をオン。

Wi-Fiネットワークの選択画面が表示されるので、一番下にある「別のネットワークを選択」をタップ。

手動入力欄が表示されるので、Wi-Fiネットワーク名に適当なテキストや絵文字を入力しまくります。

ある程度入力したらすべて選択してコピーしておくと、長大な文字列を連続して貼り付け可能になります。

しばらく貼り付けを続けたら「セキュリティ」をタップ。

ここは「WEP」でも「WPA」でも「WAP2」でも何でもOK。

「戻る」をタップすると……

パスワードの入力欄が出現するので、先ほどと同じように長大な文字列を繰り返し貼り付けていきます。

文字列があまりにも長くなるとiPadの動作がカクカクしてくるので、端末を縦向きにして……

Smart Coverをパタリ。

Smart Coverを開くと画面が暗いままになっていますが、iPadを横向きにして文字列の貼り付けを再開。

再びフリーズしたら縦向きにしてSmart Coverを閉じます。

Smart Coverを開くと、画面が回転せずにフリーズしたままになっています。

画面を横向きにして、ホームボタンを長押しすると……

一瞬だけホーム画面が表示され、その後アクティベーションロックを解除した状態で端末にアクセスできるようになります。

なお、IT系ニュースメディア・Ars Technicaがこの手順を再現したところ、iPad mini 2でアクティベーションロックの解除に成功したとのこと。一方、設定画面が回転しない仕様のiPhoneでは再現せず、Ars TechnicaはiPad特有の脆弱性になっていると指摘しています。