最新のiPhone/iOSもアンロック可能な「GrayKey」とは? 3
力業でクラックするツールなのだろうか 部門より
米捜査機関によるiPhoneのアンロックといえばイスラエル・Cellebriteのツールが知られているが、3月初めに米スタートアップ企業Grayshiftのアンロックツール「GrayKey」の存在をForbesが報じて話題になった。このGrayKeyについて、Malwarebytesが匿名の情報提供者から情報を入手し、写真入りで紹介している(Malwarebytes Labs、Register、Mac Rumors)。
GrayKeyは4インチ×4インチ×2インチのグレーのボックスで、Mac miniを一回り大きくしたような感じだ。フロントから2本のLightningケーブルが出ており、iPhoneを2台まで同時に接続できる。iPhoneを接続すると2分ほどでパスコードのクラックが始まる。所要時間はパスコードによって異なるが、情報提供者が見たものでは2時間程度、Grayshiftのドキュメントによれば6桁のパスコードでは3日以上かかることもあるそうだ。アンロック後はGrayKeyにiPhoneのファイルシステムの内容がすべてダウンロードされ、WebベースのインターフェイスでPCからアクセス可能になるとのこと。
GrayKeyはiPhone Xなど最新モデルにも対応しており、少なくともiOS 11.2.5で使用できる。また、パスコードによるアンロック失敗を繰り返して使用できない状態になったiPhoneもアンロックできるという。Cellebriteでも最新バージョンのiOSに対応したと報じられているが、アンロックするiPhoneはいったんCellebriteに送る必要がある。
GrayKeyの価格は15,000ドルと30,000ドルの2種類。15,000ドルのタイプはインターネット接続が必要で、セットアップしたネットワークに接続した場合にのみ使用できる。使用回数も300回に制限されているようだ。一方、30,000ドルのタイプはオフラインで使用でき、使用回数の制限もない。オフラインバージョンはトークンベースの2要素認証で保護されるが、パスワードのメモを同じ場所に保管するなど管理が甘い状態で盗難にあう可能性をMalwarebytesは指摘している。
また、アンロックされたiPhoneは一種の脱獄状態になるとみられ、捜査が終了して持ち主へ返却される際に復元されるのかどうか、GrayshiftのネットワークやGrayKeyにダウンロードされたデータの安全性に問題はないか、捜査機関が乱用する可能性はないか、他国の捜査機関などに販売される可能性はないかといった点についてもMalwarebytesは懸念している。
ちゃんとしたパスワードを使えばクソの役にも立たんのでは? (スコア:0)
6桁のパスコード(数字)をクラックするのに3日かかるということは、だいたい0.1秒に一回しか新しい組み合わせをトライできないということになる。ということは、予測しにくい8桁の英数字パスワードを使うだけで解読に数十年必要となり、事実上使い物にならなくなるだろう。
名前どうりグレイな製品ですな (スコア:0)
開発したのは元アップルのエンジニア [downloadchain.com]みたいだけど、こういう明確に敵対する製品開発に携わって訴えられないんでしょうかね。(エンジニアといいつつ、実態は掃除のオバチャンの可能性もありますが(笑))
なんらかのシステムの脆弱性を利用してパスワードの試行スピードを上げているだけで、AppleとGreykey開発元のGreyshift社の形勢次第では、事実上意味ない位まで遅くなる可能性はありそうですね。
一見クラック用デバイスの販売に見えて実体はオンラインサービスという感じなので、何らかの穴があれば対処はできるのかもしれませんが。
Re: (スコア:0)
なにかを秘密にすることで守られてるようなセキュリティ機構を採用してるってこともないでしょうし,違法なことでもないのなら別にいいんじゃないですかね
システムに脆弱なところがあってそれを隠している,ってことなら批判されるべきはアップルの方じゃないかと