Шестизначний пароль і датчик відбитків пальців Touch ID не можуть в повній мірі захистити власників iPhone 6s від злому. До такого висновку прийшли експерти компанії Morphus Labs, проаналізувавши стався на цьому тижні інцидент.
Власник iPhone 6s звернувся в Morphus Labs на третій день після крадіжки смартфона. За його словами, викрадачі змінили паролі до деяких його облікових записів, в тому числі Apple ID, і навіть зв'язалися з його банком з проханням отримати пароль до банківських аккаунтів. На щастя, їм так і не вдалося викрасти гроші, проте залишалося неясним, як зловмисники змогли змінити Apple ID на заблокованому смартфоні.
Дослідники відразу ж відкинули ідею про цільову атаці (тобто, зловмисники не планували викрадати саме цей iPhone). Нічого, крім мобільного пристрою, у жертви не пропало. Значить, у викрадачів не було ні її імені, ні адреси електронної пошти, ні будь-яких інших особистих даних.
З моменту виявлення пропажі до блокування жертвою SIM-карти пройшло всього дві години, і у зловмисників було мало часу на підбір пароля для розблокування смартфона. Пароль складався з шести символів, був надійним і без будь-яких збігів з особистими даними жертви (ні датою народження, ні номером автомобіля, які викрадачі при бажанні могли б дізнатися).
Для зміни пароля до облікового запису Google потрібно як мінімум логін (адреса електронної пошти). Яким чином зловмисникам вдалося його отримати? У Мережі існують сервіси, що пропонують за ідентифікатором IMEI дізнатися Apple ID, однак процес займає від 24 до 48 годин, а в розпорядженні зловмисників було не більше двох.
Все, що могли отримати хакери - номер телефону жертви. Як з'ясували дослідники, Google дозволяє дізнатися електронну адресу користувача, вказавши лише його ім'я, прізвище і номер телефону. Дослідники вирішили відтворити передбачувані дії зловмисників. Вони придбали iPhone 6s і зареєстрували облікові записи Google і Apple.
Діючи як викрадачі, експерти спочатку вийняли з пристрою SIM-карту і вставили її в інший смартфон, дізнавшись таким чином номер телефону «жертви». Далі вони спробували піти легким шляхом і обчислити ім'я користувача, просто ввівши в пошук Google номер телефону, але безрезультатно. Пошук в Facebook також нічого не дав.
Тут на допомогу прийшов WhatsApp. Один з дослідників згадав, що якщо учасник групової бесіди в WhatsApp отримає повідомлення від користувача, що не входить в список контактів, його ім'я відобразиться поруч з номером телефону. Значить, відправивши повідомлення з заблокованого iPhone групі в WhatsApp, можна було отримати ім'я користувача. Знаючи номер телефону, дослідники відправили по ньому повідомлення в WhatsApp, і повідомлення відбилося на екрані блокування заблокованого iPhone.
За допомогою реалізованої в смартфоні технології 3D touch експерти відповіли на повідомлення безпосередньо з екрану блокування, а потім додали контакт в групу WhatsApp. Дослідники знову відправили повідомлення, відповіли на нього з екрану блокування і вуаля - отримали ім'я «жертви». Маючи номер телефону, ім'я і прізвище, вони змогли через Google отримати і електронну адресу, а потім змінити паролі до облікового запису Google. Після цього змінити Apple ID не склало труднощів.