Un error puede ser explotado para eludir la función de activación de la cerradura de Apple y obtener acceso a la pantalla de inicio de los dispositivos bloqueados de Apple
El error podría permitir el acceso a la pantalla de inicio de un dispositivo bloqueado ejecutando la última versión del iOS de Apple. Los investigadores informaron de al menos dos variaciones diferentes de la emisión, un primer trabajo en IOS 10.1 y el segundo en el último iOS 10.1.1.En caso de robo o pérdida de un dispositivo de Apple (iPhone, iPad o iPod), los usuarios pueden activar la forma perdida a través del servicio de Buscar mi iPhone. Este modo permite automáticamente el bloqueo de activación para evitar la reactivación del dispositivo sin el permiso del propietario.
Cuando un usuario inicia un dispositivo bloqueado, se le pedirá que conecte a una red Wi-Fi. En caso de seleccionar la opción "Otras Redes", el usuario debe introducir el nombre de la red y elegir un protocolo de seguridad (por ejemplo, WEP, WPA2, etc.).
Por supuesto, el usuario tiene que proporcionar un nombre de usuario y una contraseña, pero los investigadores se dio cuenta de que no hay ninguna limitación en el número de caracteres que se pueden introducir en los campos de nombre, nombre de usuario y contraseña.
Un atacante puede desencadenar un accidente en el que expone la pantalla de inicio del dispositivo mediante la introducción de una cadena muy larga en estos campos.
El choque puede ser causado uno de los siguientes métodos: casos Smart Cover de Apple, que hacen que el dispositivo activar o dormir cuando se abre o se cierra el caso.
Aprovechando la función de rotación de pantalla y el modo de turno de noche como se demuestra en el vídeo PoC publicado por Vulnerability Lab.
El primer método se analizó por primera vez por Hemant José, que probó la función de activación de la cerradura después de comprar un iPad fija en eBay. El método funcionó en IOS 10.1 y se fijó por Apple con el lanzamiento de iOS 10.1.1.
Fecha actualización el 2021-6-18. Fecha publicación el 2016-12-2. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio