苹果即将发布一个安全更新以修复iOS 10安全漏洞,该安全漏洞可能为黑客盗取密码及其他安全数据提供可乘之机。该漏洞由颇具争议的俄罗斯计算机取证公司Elcomsoft(Elcomsoft开发iPhone手机探测软件,并在市面上销售)首先发现。
Elcomsoft表示:“苹果在iOS 10中加入了一个备选的密码验证机制,没想到无意中削弱了本地备份安全。”该公司声称发现了iOS 10备份保护机制的一个重大安全漏洞。根据安全研究员Per Thorsheim的说法,该机制采用一个相对简单的算法,而此前为安全散列算法——设置10000迭代次数模糊凭证,运用基于口令的密钥导出函数2(PBKDF2)。IOS 10系统下的新密码验证方法采用包含256位SHA2的单次迭代密码保护函数,导致暴力破解证书极易崩溃。
Elcomsoft称,针对该弱点设计出了一种攻击,可在破解搭载iOS 10系统设备的本地iTunes备份保护密码时,顺利绕过安全检查。
苹果发表声明指出,公司已认识到上述漏洞会影响iOS 10向Mac或个人电脑中iTunes备份的加密强度,并表示会通过安全更新解决该问题。
京公网安备 11010502049343号