Sześciocyfrowy kod PIN do iPhone’a prawdopodobnie można bardzo szybko złamać i jak się przed tym zabezpieczyć

31/08/2020, 11:33 · · · 18

Tydzień temu został skradziony iPhone. W ciągu 3 godzin, jego właściciel stracił ponad 20 tys. złotych.

Henrique Prange, na łamach Twittera, opublikował relację z wydarzeń, które spotkały jego przyjaciela (dla celów przejrzystości, będą nazywał go Jean-Pierre – nie wiemy, jak naprawdę ma na imię).

W skrócie, wyglądała ona tak…

  • 19:35 – Jean-Pierre’owi skradziono telefon, gdy zamawiał Ubera.
  • 20:03 – Poszkodowany, znający się na komputerach, aktywował Lost Mode na telefonie, a następnie udał się do sklepu, aby kupić nowego iPhone’a i przenieść na niego eSim. W tym czasie dostał maila, że Apple Pay został zablokowany na skradzionym iPhonie.
  • 21:16 – Złodzieje odblokowali jego Apple ID.
  • 21:18 – Zalogowali się do iClouda w przeglądarce internetowej.
  • 21:19 – Wyłączony został Find My iPhone.
  • 20:30-21:19 – Jean-Pierre w tym czasie nie miał dostępu do maila, więc nie widział spływających maili i cały czas próbował przenieść eSIM-a na nowy telefon.
  • 21:47 – Włamano się na jego konto do banku i przelano z niego ~30 tys. USD (wg Henrique’a, ale wygląda mi to na 30 tys. BRL, na podstawie screenshota, czyli ok. 5600 USD).
  • 22:22 – Złodzieje stworzyli wirtualną kartę kredytową na jego koncie bankowym i dodali ją do iTunes’a, gdzie następnie wydali ponad 2500 BRL (~460 USD) na IAP. W międzyczasie pozmieniali mu też hasła na kontach mailowych.

To wszystko zajęło złodziejom ok. trzech godzin. Pozostaje jednak najważniejsze pytanie:

Jak złodzieje odblokowali jego iPhone’a, zabezpieczonego 6-cyfrowym kodem PIN?

Możliwości jest kilka:

  1. Śledzili Jean-Pierre’a i podglądali, jak wpisuje kod.
  2. Mieli całkowite szczęście i odgadli kod, typu 123456 lub 000000.
  3. Wykorzystali urządzenie w stylu GrayKey.

Po odblokowaniu telefonu, banalnie łatwo dostać się do iClouda, ponieważ te dane przetrzymywane są w iCloud Keychain. Po uzyskaniu danych do logowania się do danego Apple ID, złodziej ma wyłożony czerwony dywan – ma dostęp do wszystkiego i kontrolę nad wszystkim.

Jak się zatem zabezpieczyć?

Kod PIN czy hasło?

iPhone (lub iPad) na Touch ID lub Face ID, ale alternatywą zawsze jest PIN lub hasło. Kiedyś wymagany był PIN 4-cyfrowy, a dzisiaj jest to 6-cyfrowy. To one stanowią słabe ogniwo, ponieważ po ich złamaniu / obejściu, żaden Face / Touch ID nie pomoże.

Można zmienić domyślny PIN na alfanumeryczny hasło. Nawet krótkie, 6-znakowe. Jeśli nikt jeszcze nie złamał dodatkowych zabezpieczeń Apple, czyli wymaganej 80 ms przerwie w kolejnych próbach odgadnięcia hasła, to powinno to oznaczać, że złamanie 6-znakowego hasła alfanumerycznego wyniesie 72 lata. Takowe na pewno będzie bezpieczniejsze niż sam PIN, ale to dodatkowe zabezpieczenie prawdopodobnie też można obejść (lub będzie można w przyszłości), więc lepiej zastosować dłuższe, przynajmniej 12-znakowe.

Sam korzystam z 6-cyfrowego PIN-u. Będę to dzisiaj zmieniał, pomimo że nie jestem tak zagrożony, jak Jean-Pierre, ponieważ nie trzymam danych do logowania się do iClouda nigdzie.

Dane logowania do iCloud

Konto iCloud traktuję jako święte. Mam włączone podwójne uwierzytelnianie, a loginu i hasła nie zapisałem nigdzie – siedzi tylko i wyłącznie w mojej głowie. Podobnie traktuję dane logowania się do banków. Bezpieczniej je zapisać gdzieś na kartce w domu niż trzymać w iCloud Keychain, 1Password, LastPass, etc.

Dla pewności uruchomiłem jednak Keychain Access i potwierdziłem, że moich dwóch głównych Apple ID nie mam tam zapisanych (ani w 1Password). Znalazłem za to dane do konta deweloperskiego, które zaraz usunę.

Jeśli jednak wolicie trzymać w iCloud Keychain (lub Keychain Access lokalnie) hasła do Apple ID, to polecam korzystać z hasła alfanumerycznego do odblokowywania iOS-a i Maca.


Pamiętajcie, że zawsze nam wydaje się, że nas to nie spotka… dopóki nas to nie spotka.

18

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.