Британская газета Daily Mail нашла в свободной продаже устройство, предназначенное для взлома iPhone и iPad путем перебора цифрового пароля, установленного на доступ к гаджету. Такое устройство, под названием IP Box, оказалось в наличии в интернет-магазине Fone Fun Shop за 120 фунтов стерлингов (около $170 или p11,6 тыс).
IP Box проводит атаку типа «грубой силы» (brute force). Суть такой атаки заключается в переборе пароля до тех пор, пока он не будет угадан. Для этого устройство подключается к дисплею и системе электропитания мобильного гаджета.
Принцип действия
Гаджеты Apple защищены от атак типа brute force — если пользователь несколько раз неправильно вводит пароль, мобильник или планшет блокируется. В зависимости от версии прошивки и устройства, максимальное число попыток равно трем или пяти,
В IP Box предусмотрен этот момент. Сразу после ввода неверной комбинации IP Box обесточивает гаджет так, что тот не успевает записать в память информацию о неудачной попытке. Это позволяет вводить неверный пароль неограниченное количество раз.
Взлом iPhone 5c за шесть часов
Редакция Daily Mail провела эксперимент и взломала 4-значный цифровой пароль на iPhone 5c за шесть часов. Этим паролем оказалось число 3298. После этого, как отметили в редакции, они получили доступ ко всем данным на гаджете, а также к функции смены или отключения пароля.
Максимум на взлом 4-значного цифрового пароля может уйти 17 часов. На одну неверную попытку приходится около шести секунд, сообщили в редакции.
Помощь многим людям
По словам директора интернет-магазина Fone Fun Shop 45-летнего Марка Страхана (Mark Strachan), устройством IP Box уже воспользовались множество его клиентов, включая руководителей компаний и родственников умерших.
Стрелок в Сан-Бернардино
16 февраля 2016 г. суд обязал Apple помочь ФБР получить доступ к информации, хранящейся во внутренней памяти iPhone 5c, владелец которого, радикально настроенный исламист, в декабре 2015 г. в американском городе Сан-Бернардино застрелил 14 человек (он был убит в перестрелке с полицией). Агенты утверждали, что данные на его телефоне очень важны для расследования.
Однако генеральный директор Apple Тим Кук (Tim Cook) публично отказался предоставить доступ. Он заявил, что это поставит под угрозу частную жизнь всех пользователей, и добавил, что власти заставляют его не только сообщить пароль к смартфону убийцы, но и встроить в iOS «черный ход», который в будущем позволит правоохранительным органам самостоятельно получать доступ к данным в случае необходимости.
Новая модель устройства
На прошлой неделе ФБР отозвало иск к Apple с требованием предоставить доступ к данным на телефоне, сообщив, что смогла получить его самостоятельно. В бюро ничего не рассказали о том, как им удалось это сделать, но начали помогать в этом другим ведомствам, оказавшимся в аналогичной ситуации.
Daily Mail предполагает, что в руках ФБР оказалось устройство IP Box или нечто подобное. Это предположение имеет смысл быть, так как Страхан сообщил газете, что в апреле 2016 г. его магазин планирует приступить к продаже новой модели IP Box, способной взламывать устройства на последней версии прошивки — iOS 9.
Microsoft выпустила внеплановое обновление для .NET 10. После апрельского набора патчей часть пользователей начала жаловаться на сбои с расшифровкой данных в приложениях на .NET 10.0.6. В ходе разбора проблемы компания обнаружила ещё и уязвимость CVE-2026-40372 с 9,1 балла из 10 по CVSS.
Microsoft уже выпустила заплатку в версии .NET 10.0.7. Проблема затрагивает пакет Microsoft.AspNetCore.DataProtection.
Согласно описанию Microsoft, ошибка в механизме аутентифицированного шифрования могла привести к повышению привилегий: атакующий получал возможность подделывать аутентификационные cookies и расшифровывать часть защищённой нагрузки.
В худшем сценарии это открывает путь к получению прав SYSTEM, чтению файлов и изменению данных.
Особенно неприятный момент в том, что под удар в первую очередь попали не Windows. Microsoft указывает, что уязвимость касается всех ОС с .NET 10.0.6, а также некоторых конфигураций, где приложение использует версии пакета Microsoft.AspNetCore.DataProtection от 10.0.0 до 10.0.6 через NuGet и работает, например, на Linux или macOS.
Чтобы закрыть дыру и одновременно исправить проблемы с расшифровкой, Microsoft выпустила .NET 10.0.7 как внеочередной патч. По данным Microsoft Update Catalog, обновление вышло 21 апреля 2026 года под KB5091596. После установки компания рекомендует проверить версию через dotnet --info, а затем пересобрать и заново развернуть зависимые приложения.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
