自然,黑客立即撲向最近發布的iOS 10,以利用可能的漏洞。在發現可能損害整個iOS設備的iTunes備份安全性的嚴重弱點後,人們並沒有感到失望。
Elcomsoft自稱為iOS法醫公司,發現Apple可能在iOS 10中嚴重損害了密碼安全性。這歸咎於引入替代密碼驗證機制,這使黑客可以跳過幾次安全檢查,並繼續嘗試使用高達2,500倍的密碼。為了將其在上下文中,當Elcomsoft進行攻擊時,與對iOS 9的攻擊相比,稱為ELCOMSOFT電話斷路器的工具可以提高性能40倍。
iOS 10備份安全性的漏洞據稱至關重要。今天的iOS 10的迭代變得越來越難以越獄,特別是隨著蘋果解密技術的實力。然後,這通過一種稱為邏輯採集的方法將備份數據作為黑客替代方案。
“強迫iPhone或iPad生產離線備份和分析結果數據是運行iOS 10的設備可用的少數獲取選項之一,” Elcomsoft的Oleg Afonin說在博客文章中。 “如果您能夠破壞密碼,則可以解密包括鑰匙扣在內的備份中的整個內容。”
其他專家確認Elcomsoft的發現。例如,密碼安全專家Thorsheim,尖蘋果開發出用於存儲在計算機上的備份的算法較弱的方式。這將密碼變成“哈希”或一串數字和字母。算法越簡單,就像iOS 10中的情況一樣,找到密碼匹配的越容易。
在iOS 9中,使用的算法是PBKDF2,它需要密碼運行約10,000次。最近的iOS 10算法SHA256只需要一次迭代,這使密碼破裂過程不僅容易,而且更快。
根據Thorsheim的說法,由於實施工程和蘋果在公開發布之前引入了多個iOS 10 Beta版本,因此當前的安全弱點並不是一個錯誤。
蘋果公司現在正在研究修復程序,因為它通過向《福布斯的聲明》提出了向用戶放心的方法。
“我們正在即將到來的安全更新中解決此問題,”該公司說。 “我們建議用戶確保他們的Mac或PC受到強密碼的保護,並且只能由授權用戶訪問。”
關於安全修復發布日期尚無任何消息。但是,用戶應該振作起來,表明Apple已經在ios 10.1進行了beta測試。
照片:John Karakatsanis |Flickr
