风波不断，近日有专业的iPhone黑客机构Elcomsoft公开表示，iOS 10存在非常大的安全隐患，全新的iTunes备份文件所采用的密码认证机制更容易遭到软件的暴力破解。

Elcomsoft指出，iOS 10在备份时“省略一些必要的安全检查”，这使得黑客们在使用CPU加速破解iOS 10时能比iOS 9使用更高速的GPU还速度40倍“入侵盗取”，如果更高规格的CPU，他们能比“iOS 9及以前版本快约2500倍的速度”尝试备份iOS 10密码”。

在获得用户的iTunes备份密码后，iPhone上的所有数据，甚至包括存储在Keychain中的所有数据（用户的秘密及敏感信息）都可以被轻易获取。截至目前，Elcomsoft使用相应技术已成功获取80%~90%的用户密码，虽然目前只开发出了使用CPU的破解方法，但相较于iOS 9的安全检查机制，iOS 10的安全性明显下降。

“我们发现了iOS 10的密码备份机制中存在一种全新的认证机制，自信研究后发现，它忽略了一些特有的安全检查”，Elcomsoft负责人Oleg Afonin的话得到了数据安全分析师Per Thorsheim的赞同。他表示，在iOS 9以及更早至iOS 4时期，苹果使用的是10000次迭代的散列算法PBKDF2，然而在最新的iOS 10中他们却转向了1次迭代的SHA256算法，后者让黑客只需单独尝试一个错误密码位，就能完成密码的破解，大大加快了强力破解密码的速度。

“这并不是一个好的算法”，Per Thorsheim在接受《福布斯》采访时指出，苹果做出如此的错误实属“奇葩”，“在安全方面坐下如此大的一个纰漏”足以让苹果“赢得年度最蠢奖项”。

截至目前，苹果已发表声明，该公司已经意识到了这一问题并开始修复，并正在修复这一漏洞。“我们知道，iOS 10中所用的最新iTunes备份密码认证机制容易遭到暴力破解，目前我们正在努力修复这个问题。但这并不会影响到iCloud的备份安全。”苹果的一位发言人表示，“我们建议用户为了确保Mac和PC的密码保护安全，进行只能授权用户访问的设置。另外额外的安全保障可以使用FileVault全磁盘进行加密。”

Elcomsoft CEO Vladimir Katalov告诉《福布斯》，手机的备份会包含非常精准的数据资料，从通讯录、信息、呼叫记录、媒体文件等，无论是已经保存过的密码还是邮箱、所有社交平台认证过的钥密，统统都包含在备份数据之中。因而，iOS 10的纰漏也将让用户的数据安全被暴露在更大的安全隐患之中。