新しいiOS 10 以前のバージョンのiOSと比較して、オペレーティングシステムの一部の機能が不足していたため、オペレーティングシステムの安全性は少し劣っていました。(9). これに加えて、iPhoneをハッキングしたことに対する見返りにより、多くの調査会社は、Appleモバイルデバイスで実行されている最新のオペレーティングシステムをさまざまな方法で解読およびロック解除することに力を注ぐようになりました。.
最近, a RenatoMarinhoによるレポート, Morphus Labsのディレクターは、一般的な犯罪者が盗まれたiPhone6Sのロックを解除したのは 2 時間時間.
新しいものによって保護されたAppleiPhone6Sデバイス 6 数字のパスワード、およびiPhoneID指紋に固有の一般的なパスワード 10月15日頃にどこかでそれを盗んだ泥棒の主な標的になりました.
犯罪者 ハッキング iPhoneは資金や非常に重要なものを盗みませんでした, しかし、どういうわけか、彼らはロックされた電話から一意のAppleIDパスワードを再起動することができました. 詐欺師はソーシャルエンジニアリング技術を使用することさえできました, 彼の個人銀行への電話中に電話のユーザーであるふりをする.
研究者たちは、この攻撃は、実際に攻撃を行う前に犯罪者が準備しなければならない標的型盗難の1つではなかったと考えています。, 主な理由は、泥棒が犠牲者からiPhoneを奪い、最後に.
さらに, 泥棒は被害者から他の文書や情報を盗むことができませんでした, 現金とデバイス自体のみ.
6桁のパスワードは、誕生日のようにそれを与えることができる論理的なヒントがなく、完全にランダムであったため、推測するのが非常に困難でした。, 電話番号, およびその他の情報. これにもかかわらず, 犯罪者が電話のロックを解除し、その資格情報の一部をリセットするのをほぼ阻止しませんでした 2 盗難自体が発生してから数時間後.
電話が盗まれたとたんに, 被害者はiPhoneの「ロストモード」をアクティブにしようとし、iCloud経由で削除するよう要求しました. 盗難が発生してから2時間半, 被害者のGoogleアカウントのパスワードはすでに変更されており、この直後に, iPhoneのAppleIDパスワードが変更されました.
ついに, iPhoneの位置を特定し、リモートで消去しました, しかし、2つの重要なアカウントのためにすでに手遅れでした (AppleIDとGoogle) 再起動されました.
泥棒はどのようにしてiPhoneのロックを解除しましたか
彼らがどうやってこんなに速くデバイスのロックを解除できたのかは謎のままです, しかし、Morphus Labsの研究者たちは、それがどのように機能したかについての理論を考え出しました。.
何が起こったかに関する調査に基づく, このiOSバージョンは、特にアカウント情報に関して、ロックされたiPhoneからの詳細情報を表示する可能性があります, 詐欺師は、デバイスの通知を介した情報抽出を可能にする方法を使用して、ロックを解除した可能性があります.
調査対象からの除外方法に基づく, これらのサービスは時間のかかるものであったため、犯罪者は、一意のIMEI番号に基づいてAppleIDを提供するオンラインサービスを使用できませんでした。.
最も可能性の高いシナリオは、犯罪者が被害者の電話番号を使用したことである可能性がありますが、これを見つけるのは難しくありません。. 電話番号がわかっている場合は、それに関連する名前, 詐欺師はこれを使ってGoogleアカウントをクラックした可能性があります.
この理論をテストするには, 研究者は、デバイスに関連付けられているSIMカードを取り外し、機密情報を明らかにするために別の電話に挿入しました. その後、研究者たちはオンラインで電話番号を探そうとしました, 主にそれをグーグルするか、Facebookでプロフィールとの関連を探します. 彼らは最初は成功しませんでした, しかし後で彼らは積極的になりました. きちんとした研究者たちは、実行に多くを必要としないWattsAppなどのアプリをインストールすることができました, 被害者の写真やステータスなどの重要な情報をこのように受け取りました. それで, 彼らはさらに創造的になり、WattsAppチャットグループにプロファイルを正常に追加し、Googleプロファイル自体に関連付けられた名前を抽出することに成功しました.
それで, 研究者たちは、ロックされたiPhoneにSIMカードを挿入し直しました, しかし今回、彼らはサードパーティのWattsAppユーザーからiPhoneにメッセージを送信しました. この脆弱性により、ロックされたiPhoneからのWattsAppメッセージに応答することができました. 彼らがロックされた電話からのメッセージに答えたとき, 一意の番号でポップアップされた応答メッセージ, 被害者のGoogleのプロファイルに配置されたのと同じ方法で名前と名前を. これにより、詐欺師は「パスワードを忘れた」をクリックするだけでGoogleアカウントにハッキングすることができました。, 「最後に覚えたパスワード」画面にランダムなテキストを入力してから、名前を入力します, Googleアカウントに関連付けられている名前と電話番号.
電話番号を入力した後, Googleはすぐに一意のコードを送信します, あなた方の何人かが知っているかもしれないように, これは、Googleのパスワード回復ページに入力された場合, 新しいパスワードを入力できます, 研究者ができたように:
AppleIDアカウントに関しても同じ戦術が使用されました. 研究者はパスワード回復画面に行き、なんとかパスワードを変更することができました, 今回は、ハッキングされたGoogleアカウントを使用して、被害者のAppleIDパスワードを変更します.
この重要なGoogleおよびAppleID情報に基づく, 電話は犯罪者によって所有されるようになります. iCloud経由で電話を再起動すると、データをクリーンアップし、詐欺師がApple IDを入力できるようにすることで、犯罪者を助けるだけです。, ロックを解除して、完全にワイプされたiPhoneを使用します。. 単純, でも天才.
どのような結論を導き出すことができますか
犯罪者がこれを使用したのか、それともおおよその方法を使用したのかは明らかではありません, ただし、最初にGoogleアカウントのパスワード、次にAppleIDが変更されました, 被害者の情報を使用して、犯罪者がデバイスをリセットおよびロック解除できるようにする (名前と電話番号).
マリニョによると、いくつかの重要なポイントを描くことができます. それらの1つは電話での通知です. これらの通知は、誰かに迅速に返信したい場合に非常に便利ですが, それは誰にでもSMSメッセージとWattsAppの「午後」を読む可能性を与えます. これらの通知設定は、その場で完全または部分的に無効にする必要があります.
また, に敏感なユーザー 安全 電話のSIMカードがそれが主なセキュリティの弱点であることを理解する必要があります. iPhoneデバイスで使用される暗号化がありますが, ほとんどの場合、パスワードで保護されたSIMカードはありません, そしてそれらのPINコードのほとんどはデフォルトのものです.
二要素認証は、モバイルデバイスを保護するための優れたセキュリティ対策です, また、電話番号に依存してパスワードを変更するだけでなく、複数のログイン方法から選択できるため、使用することを強くお勧めします。.
誰にとっても悪い結果になる可能性があるので, 研究者は、SIMカードの将来のセキュリティについて懸念を感じており、すべてのユーザーがデバイスを適切に保護するのに十分な教育を受けているわけではないことを感じています. 私たちの意見では、SIMカードとアプリケーション、および通知に関しては、電話自体のセキュリティを強化するための努力を払う必要があります, ただし、ユーザーは基本的なセキュリティ習慣についても教育を受ける必要があります.