Onderzoekers zijn op een apparaatje gestuit waarmee het mogelijk is om de schermvergrendeling van iPhones en iPads te bruteforcen. De IP Box, zoals het apparaatje heet, zou door telefoonreparateurs worden gebruikt om de schermvergrendeling van iOS te omzeilen. "Dit heeft vanzelfsprekend grote gevolgen voor de veiligheid en was natuurlijk iets dat we wilden onderzoeken en valideren", aldus onderzoekers van MDSec.

Ze wisten uiteindelijk voor 200 pond één van de apparaatjes te bemachtigen. De IP Box blijkt via de USB-verbinding het invoeren van de pincode te simuleren en probeert tegelijkertijd alle mogelijk pincombinaties. Volgens de onderzoekers is dit al langer bekend, maar werkt het apparaatje ook als de optie staat ingeschakeld om na 10 pogingen de gegevens te wissen.

"Onze eerste analyse wijst erop dat de IP Box de beperkingen kan omzeilen door direct met de stroombron van de iPhone verbinding te maken en agressief de stroom na elke mislukte pincode te verbreken, maar voordat de poging in het Flash-geheugen is gesynchroniseerd." Het invoeren van een pincode zou daardoor zo'n 40 seconden duren. Een viercijferig pincode kan daardoor in zo'n 111 uur worden achterhaald.

De aanval is op iOS 8.1 getest. Een aanval op iOS 8.2 volgt nog. Uit het onderzoek zou blijken dat het mogelijk om een lek gaat dat vorig jaar al werd ontdekt, maar dit moet nog worden bevestigd. De onderzoekers maakten onderstaande video op YouTube waarin het apparaatje en de aanval worden gedemonstreerd.