返回
取消

首页

数码

iOS 10是否存在严重漏洞? 听了我的科普你都明白了!

2022-09-03 23:49:41 阅读()
数码资讯IOS系统
再安全的系统也是漏洞难免,iOS 并不例外。黑客团队不久前发现 iOS 10 的 iTunes 备份机制存在着漏洞,新的验证方法让它变得更容易被破解。而后苹果承认了该漏洞的存在。那么,它究竟是怎么一回...

57e9dfdcade41_550_0.jpg

新漏洞来袭

57e9dfdb587f2_550_0.jpg

来自俄罗斯的某团队Elcomsoft最近在官方博客上透露,为了解密iTunes的备份文件,发现了iOS 10系统中存在的新漏洞。 即使是暴力破解这种看起来不太“高端”的手段,攻击者也能比以前更快地获取备份文件中的信息。 据说他们的解读速度“比以前的iOS版本快约2500倍”。

iOS的备份文件被解密是非常危险的。 因为它包含密钥、通讯录、邮件、通话记录、照片和视频等各种信息,还有保存的密码记录和各个网站的认证令牌。 如果iOS 10环境中的iTunes备份文件被泄露,则有可能被恶意人员轻易破解。

Elcomsoft公司在俄罗斯很有名,在密码重置和恢复、计算机取证、安全软件开发等领域他们都有涉及。 要说他们的“成名作”,莫过于2014年的好莱坞名人艳照岚了。 正是因为其他Elcomsoft开发的工具突破了iCloud,才出现了这样严重的事态。 Elcomsoft的一大收入来源是销售自己开发的iPhone破解工具。 iOS 10正式发表的时候,他们自然最先参加了研究。 正因为如此,Elcomsoft在漏洞挖掘方面非常权威。

为什么会有漏洞?

57e9dfdc67d81_550_0.jpg

Elcomsoft团队使用自己的破解工具分析iOS 10时,发现iOS 10的备份文件中存在另一种新的密码验证机制。 令人惊讶的是,这种新机制省略了一些安全**,使**能方便快捷地获取重要信息。

这种暴力破解攻击只针对iOS 10设备上的受密码保护的本地备份文件,对旧备份文件效率不高。 有趣的是,在iOS 10系统中,新的密码验证机制和旧的机制共存。 该破解手段仅与系统版本相关,无论机型如何,只要更新到iOS 10就存在漏洞。

Elcomsoft公开该漏洞后,资深安全顾问波斯纳姆( Per Thorsheim )揭示了更深层次的问题。

对于存储在PC上的iPhone的备份,苹果不知为何采用了安全性更低的哈希算法。 该算法将明文密码**称为所谓的“哈希”或“哈希”,简单地说是由数字和字母组合而成的字符串。 任何大小的数据都可以通过**成为固定长度的散列值,只要数据稍有更改,散列的结果就会完全不同。 算法越复杂,用户设置的密码也越复杂,则**就越难找到与这个“天书”相对应的密码的明文。 暴力解读是一种方法,但效率太低了。

从iOS 4到iOS 9,苹果采用了PBKDF2算法。 PBKDF2基于迭代的复杂性来提高密码的安全性,但以前版本的iOS会让明文密码重复执行10000次该算法。 *要破解,他必须先推测可能的密码,然后重复执行10000次同样的算法。 如果最终得到的散列值不一致,则必须重复上述过程,非常麻烦并且需要时间。 但是在iOS 10上,苹果采用了新的SHA256算法,而且只经过了一次**。 那样的话,脆饼干当然会轻松很多。

索尔塞姆也同样注意到iOS 10上两种安全机制共存,完全不理解苹果的意图。 如果说两种算法中有一种明显较弱,攻击者当然会走这条路。

[! -empirenews.page----]

漏洞的危害严重吗?

57e9dfdb0f6b6_550_0.png

既然是安全漏洞,我们作为用户自然关心的是它造成的危害是否严重。 据Elcomsoft称,这个问题相当严重。 为什么呢? 我们用晾衣架说话。

根据该团队的**结果,暴力破解iOS 9时,如果在英特尔i5处理器上进行CPU运算,每秒只能尝试2400个密码。 即使利用Nvidia GTX 1080等强大的硬件进行GPU解密,也只不过每秒尝试15万个密码。 但是,到了iOS 10,使用原来的i5处理器,处理速度急剧增加到了每秒600万个密码。 这样可以大大缩短找到正确答案的时间。

更可怕的是,Elcomsoft在自己的软件更新后表示支持这种攻击手段。 由于急于更新,团队还没有参加合适的GPU加速。 尽管如此,其解密速度与过去的版本相比快得惊人,Elcomsoft暗示效率实际上还会继续提高。

放心,iOS 还是安全的

57e9e01743911.png

尽管如此,也没有必要因此而惊慌失措,不敢使用iOS 10。 因为解密**备份文件的大前提是他手头有**备份文件。 如果他终于接入**电脑,突然发现你习惯用iCloud备份,那就没用了。

即使发现了这样的漏洞,Elcomsoft首席执行官弗拉迪米尔卡塔罗夫( Vladimir Katalov )也认为iOS是安全的。 他在文章中说,解读越来越难。 在iOS 10没有越狱的现在,物理手段是不可能的。 即使是旧机型,即使知道钥匙。 在知道用户的Apple ID和密码或者访问他的电脑获得iCloud认证令牌之前,无法实现Cloud解密。 “苹果智能手机很安全,iOS也很安全。 ”卡塔罗夫这样写道。

幸运的是,苹果承认了这个漏洞的存在。 “我们知道iOS 10设备在Mac或PC上进行iTunes备份时,漏洞会影响加密强度的问题。 我们将通过以下安全更新修复此漏洞。 这不影响iCloud的备份。 ”苹果发言人说:“我们建议用户自己的Mac和PC受强密码保护,只有授权用户才能访问。 FileVault全硬盘加密可提高安全性。 ”

苹果承认存在漏洞,未来将宣布更新修复,我们要做的只能静静等待它的到来。 只要我们在这个时间细心,只要有基本的网络安全意识,就不会误入这个坑里**们的道路。

推荐阅读