你有没有用过 iTunes 备份?只要连上数据线,就可以把手机上重要的文件保存在 Mac 或 PC 上。没错,就是这个功能,在 iOS 10 上的安全性锐减。
一家以破解 iPhone 为生的安全公司 Elcomsoft 最近刚刚公布了一项测试结果。
iOS 10 上最新的安全机制,会让这种备份的密码变得容易被破解。
简单科普一下:
你在 Mac 或 PC 上对 iPhone 备份之后,可以选择用密码来保护你的隐私资料。如果黑客想要从 Mac 或 PC 上窃取你的机密信息,就一定要过密码这一关。对于这类密码,一般采取的破解方法就是——霸王硬上弓,也就是暴力破解。
Elcomsoft 发现,最新的 iOS 备份机制,跳过了一些特定的安全检查步骤。基于此,他们就可以发明一种新的玩法,让破解的工作比 iOS 9 块2500倍。
至于为什么安全性退步了这么多,还有一条重要的原因:
苹果在最新的系统中将原先的PBKDF哈希算法改成了SHA256算法,前者拥有1万个迭代,后者却只有1个,这就使得攻击者在对系统展开暴力破解的时候其攻击速度可以获得巨大提升。
Elcomsoft 拿出了一些具体的测试数据:
iOS 9 (CPU): 每秒2400次(Intel i5)
iOS 9 (GPU): 每秒150000次(NVIDIA GTX 1080)
iOS 10 (CPU): 每秒6000000次(Intel i5)
简单算一下,就得出了:“iOS 10的攻击速度是iOS 9的2499倍”这样的结论。
苹果方面在提供给《福布斯》的声明中表示,他们已经意识到这一问题并已经就此开始修复工作。
不过,不用太担心,Elcomsoft 也表示,这个安全问题仅仅会影响到在Mac或PC上创建的备份,而不会危机到iCloud备份的安全。所以影响的范围还是有限的。那些上传羞羞照片到 iCloud 上的童鞋,莫要惊慌。