iOSデバイスの4桁のパスコードを総当りで解除することができる「IP-BOX」というツールが出回っていることが判明しました(MDSec、iDownloadBlog、9to5Mac、Hacker News)。
通常iPhoneのパスコードを総当りで解除しようとしても、数回間違えた段階でロックアウトされたり、中身が消去されるためうまくいかないはず。しかしIP-BOXは、パスコード入力の失敗を自動で検知し、失敗がカウントされる前に電源を切断することで、総当り攻撃を実行することができるのです。
電源断のあと、再起動の時間が40秒ほどかかるため、総当り攻撃を実行しようとするとトータルで111時間以上も必要なのですが、セキュリティ上の脅威であることは間違いありません。しかもIP-BOXは300ドルで購入可能というから驚きです。
さいわい、この総当り攻撃に対する脆弱性はiOS 8.1.1で修正されたようです(MDSecはiOS 8.2でテストすると予告していますがそれはまだ公開されていません)。これをきっかけに、4桁の簡単なパスコードではなく、複雑なパスコードを使うことを考えたほうが良いのかもしれません(設定で「簡単なパスコード」をオフにする)。