新聞 iOS 10遭爆安全機制變弱，備份時密碼更容易被破解

william77

俄國專門破解iPhone的鑑識公司Elcomsoft指出當用戶將資料備份至本地端的iTunes 時，由於iOS 10採用新的密碼驗證機制，繞過某些安全檢查，使駭客以暴力破解密碼的速度較iOS 9來得更容易，蘋果建議用戶使用高強度密碼，同時準備透過安全更新進行修補。

俄國專門破解iPhone的鑑識公司Elcomsoft上周指出，蘋果甫於今年9月13日釋出的iOS 10安全機制保護力不足，當用戶備份裝置資料至本地端的iTunes時，駭客可以更快破解密碼。
Elcomsoft發現，蘋果在iOS 10的備份功能中提供了新的密碼驗證機制，該機制跳過了某些安全檢查，讓他們得以更快速地測試密碼，找出密碼的速度約是iOS 9或更早版本的2500倍。
此一新的密碼驗證機制與其他iOS上既有的密碼驗證機制共存，只有在備份至本地端時使用。密碼學專家Per Thorsheim解釋，蘋果把iOS中的密碼雜湊演算法從具備1萬個迭代的PBKDF2換成只要單一迭代的SHA256，加快了暴力破解密碼的速度。
根據Elcomsoft的估計，與只使用CPU的iOS 9相較，在iOS 10上破解密碼的速度是它的2500倍，若在iOS 9加上GPU加速器，在iOS 10上的密碼破解速度也可達到40倍。
而且，當駭客透過此一方式破解密碼後，將能解密所有的備份內容，包含蘋果的密碼管理程式Keychain在內。
蘋果表示，已得知iOS 10裝置備份到Mac或PC上的iTunes時的加密強度問題，將會透過之後的安全更新修補，但此一問題並不影響iCloud備份，建議使用者以高強度的密碼保護Mac或PC，或是在Mac上啟用FileVault磁碟加密功能。
Elcomsoft所發現的嚴格說來並非安全漏洞，而是iOS的安全機制變弱了，進而讓執法機構、情報機關或是間諜更容易存取iOS裝置用戶的備份資料，但iOS裝置本身仍是安全的。

longxuekai

了解一下来

panups