「iPhone」や「iPad」でパスコードの入力回数制限を回避する方法を発見したとするセキュリティ研究者の見解を、米ZDNetが報じていた。しかし、この研究者がテストしたパスコードは常にカウントされていたわけではないことが明らかになった。



提供：NurPhoto 提供：NurPhoto

Appleは米国時間6月23日に電子メールでコメントを寄せ、その中で「iPhoneにおけるパスコードの入力回数制限回避に関する先ごろの報道は誤りであり、間違ったテストの結果だった」と述べた。

iOSデバイスでは、パスコードの入力を10回間違えたら、デバイスのデータを自動的に消去するよう設定できるようになっている。

ZDNetは、Hacker Houseの共同創設者であるMatthew Hickey氏が「『iOS 11.3』でも10回という入力回数制限を回避し、好きなだけ多くのコードを入力する」方法を発見したと伝えていた。Hickey氏はそれを説明する動画も公開している。

Hickey氏は、「iPhoneまたはiPadにケーブルをつなぎ、ハッキングしようとする者がキーボード入力を送信すると、割り込み要求が開始され、デバイス上の他の何よりも優先されると説明した」という。

「一度に1つのパスコードを送信して待つのではなく、一度にすべてを送信する。1つの長い入力文字列を使ってブルートフォース（総当たり）攻撃を仕掛けると、そのすべてが処理され、データ消去機能が回避される」（Hickey氏）

しかしHickey氏はその後、同じ23日に、テストしたすべてのパスコードが「Secure Enclave Processor（SEP）に届いていないケースもあった。これは、ポケットダイヤル（または）入力が速すぎることが原因だ。したがって、PINはテストされているように『見える』が、常に送信されるわけではなく、そのため入力回数としてカウントはされず、デバイスが登録する入力回数は見た目よりも少ない」とツイートした。

Hickey氏は同日、ZDNetにコメントを寄せ、その中で次のように付け加えた。「すべてのコードとテストを再確認してみた。（中略）iPhoneにコードを送信したところ、20件かそれ以上入力されたように見えたが、実際には4～5件のPINを送信してチェックしているだけだった」