自然,黑客立即扑向最近发布的iOS 10,以利用可能的漏洞。在发现可能损害整个iOS设备的iTunes备份安全性的严重弱点后,人们并没有感到失望。
Elcomsoft自称为iOS法医公司,发现Apple可能在iOS 10中严重损害了密码安全性。这归咎于引入替代密码验证机制,这使黑客可以跳过几次安全检查,并继续尝试使用高达2,500倍的密码。为了将其在上下文中,当Elcomsoft进行攻击时,与对iOS 9的攻击相比,称为ELCOMSOFT电话断路器的工具可以提高性能40倍。
iOS 10备份安全性的漏洞据称至关重要。今天的iOS 10的迭代变得越来越难以越狱,特别是随着苹果解密技术的实力。然后,这通过一种称为逻辑采集的方法将备份数据作为黑客替代方案。
“强迫iPhone或iPad生产离线备份和分析结果数据是运行iOS 10的设备可用的少数获取选项之一,” Elcomsoft的Oleg Afonin说在博客文章中。 “如果您能够破坏密码,则可以解密包括钥匙扣在内的备份中的整个内容。”
其他专家确认Elcomsoft的发现。例如,密码安全专家Thorsheim,尖苹果开发出用于存储在计算机上的备份的算法较弱的方式。这将密码变成“哈希”或一串数字和字母。算法越简单,就像iOS 10中的情况一样,找到密码匹配的越容易。
在iOS 9中,使用的算法是PBKDF2,它需要密码运行约10,000次。最近的iOS 10算法SHA256只需要一次迭代,这使密码破裂过程不仅容易,而且更快。
根据Thorsheim的说法,由于实施工程和苹果在公开发布之前引入了多个iOS 10 Beta版本,因此当前的安全弱点并不是一个错误。
苹果公司现在正在研究修复程序,因为它通过向《福布斯的声明》提出了向用户放心的方法。
“我们正在即将到来的安全更新中解决此问题,”该公司说。 “我们建议用户确保他们的Mac或PC受到强密码的保护,并且只能由授权用户访问。”
关于安全修复发布日期尚无任何消息。但是,用户应该振作起来,表明Apple已经在ios 10.1进行了beta测试。
照片:John Karakatsanis |Flickr
