iPhoneやiPadなどiOS端末のロック画面パスコードを強引に解除する脅威の機器「IP-BOX」

パスコードがわからなくても辞書ツールを使ってあらゆる文字の組み合わせを総当たりで試して突破する攻撃手段をブルートフォースアタックと呼びます。最新の電子機器やサービスの場合はパスワードの認証失敗回数に制限を設けるなどしてこの攻撃手段を回避しており、AppleのiPhoneやiPadに搭載されているiOSでもそういった仕組みが組み込まれています。しかし、この認証失敗回数制限を回避し、ブルートフォースアタックによりiOSのパスコードを解除する脅威の機器「IP-BOX」が発見されています。

Apple iOS Hardware Assisted Screenlock Bruteforce - MDSec
https://www.mdsec.co.uk/2015/03/apple-ios-hardware-assisted-screenlock-bruteforce/

iPhoneやiPadなどのiOS端末を修理する際に使用する、ロックスクリーンのパスコード認証をブルートフォースアタックで突破するためのツールが「IP-BOX」です。セキュリティ関連企業のMDsecは、このIP-BOXが「セキュリティ上で非常に大きな意味合いを持つことになるかもしれない」と考え、調査を行っています。

MDsecはIP-BOXを200ポンド(約3万6000円)で購入したそうですが、以下のページでは250ドル(約3万円)で販売されています。

IP-BOX iPhone Password Unlock Tool | Teel Technologies

MDsecによれば、IP-BOXは単純に4桁のパスコードをUSB経由で入力し、あらゆるパスコードの組み合わせを試す、というブルートフォースアタック用のツールです。それ自体はまったく珍しいものではないのですが、iOSに設けられた「認証失敗回数制限」を回避するため、IP-BOXは10回ごとに「パスコード入力情報を削除する」という機能を有しており、これがしっかりと動作しています。

MDsecは現在もIP-BOXについて分析中とのことですが、既に判明していることは「IP-BOXが直接iOS端末のLightningプラグに接続し、意図的に端末の電源をオフにすることでパスコード入力情報をメモリから削除して認証失敗回数制限を回避している」ということ。10回の入力ごとに電源のオンオフが行われるので、パスコードをひとつ入力するのにかかる時間は約40秒ほど。4桁のパスコードを全て総当たりするには合計で111時間かかります。

実際にIP-BOXを使用してiPhoneのパスコードを解除する実験が行われています。「1234」という数字がディスプレイに表示されている小さな黒色の箱がIP-BOX。

IP-BOX内の基板はこんな感じ。左上にあるUSBポートからiPhoneやiPadなどのiOS端末と接続。

これは、iOS端末内の基板とIP-BOXをつなぐためのiOS 8アダプター。

iPhone側はディスプレイを外した状態で実験されています。

実際にIP-BOXを使ってiOS 8.1搭載のiPhone 5sのロック画面のパスコードを解除する様子は以下のムービーで見られます。

Bruteforcing the iOS Screenlock - YouTube


画面左にあるのがディスプレイ部分だけ外された状態のiPhone 5sで、その隣りにある黒色の小さな箱がIP-BOX。

IP-BOXはUSB経由でiPhoneにパスコードを入力。以下の写真では「1233」を入力しています。

パスコードが間違っていたようで、IP-BOX背部に挿さっていたiOS 8アダプターがピカリ。

iOS 8アダプターはiPhone 5s内の基板と赤色のケーブルで接続されています。

パスコードが間違っていたようでiPhoneの電源がオフになり……

しばらく時間が経過して再起動が完了。

iPhoneのロック画面に時計が表示されたら再びパスコード入力にトライ。

順番に総当たり攻撃をしかけているので次は「1234」を入力。

するとロック画面が解除されました。

ロック画面の解除に成功するとIP-BOXは「ピーピー」とアラームを鳴らして解除に成功したことを知らせてくれます。