iOS 10 zjistila, že chybí bezpečnostní kontroly proti útokům typu Brute-Force

Apple vydal minulý týden iOS 10 uživatelům iPhonu a iPadu nadšených vyhlídkami na nové funkce přicházející do jejich zařízení. Technický gigant Cupertino však možná zapomněl zmínit, s čím nástupce iOS 9 nepřichází.

Ruská firma pro kybernetickou bezpečnost Elcomsoft zjevně zjistila, že iOS 10 postrádá některé implementace, které by ho mohly chránit před hackery. Firma nedávno zjistila, že iOS 10 nepřichází s určitými bezpečnostními kontrolami, které jsou přítomny v iOS 9, podle Telefonní aréna.

Absence bezpečnostních kontrol je považována za to, že zařízení se systémem iOS 10 jsou snadným terčem útoků heslem s hrubou silou. Tento typ útoku zahrnuje hackery, kteří vyzkoušejí hesla podle postav, dokud nezískají tu správnou, která by učinila zařízení zranitelným, podle Phone Arena.

Elcomsoft uvedl na svém blogu že s novým mechanismem ověřování hesel pro zálohy iOS 10 mohou hackeři proniknout do zařízení pomocí náhodných frází a kombinací znaků alespoň 2,500 krát rychleji než iOS 9 a starší iterace OS.

Ruská firma objasnila, že nedostatky iOS 10 se vztahují pouze na zálohy, které lze hacknout pouze v případě, že hacker má místní nebo vzdálený přístup k mobilnímu zařízení, osobnímu počítači nebo přihlašovacím údajům Apple uživatele.

Dalším problémem, který byl nedávno odhalen, je downgrade hashovacího algoritmu pro iOS 10. Výzkumník bezpečnosti Per Thorsheim, generální ředitel bezpečnostní firmy God Praksis, řekl, že z SHA1 s iteracemi 10K, Apple snížil algoritmus na prostý SHA256 s jedinou iterací.

Downgrade umožňuje útočníkovi s běžným stolním počítačovým procesorem hrubou silou vynutit heslo. Phone Arena se dozvěděla, že se slabší bezpečností mají útoky hrubou silou na zálohy iOS 10 krát vyšší úspěšnost než v případě záloh iOS 40.

Řekl Thorsheim Threat Post že změny, které Apple provedl v mechanismu ochrany heslem iOS, jsou „masivním oslabením bezpečnosti a soukromí“. Dodal také: „Nevidím žádné rozumné logické vysvětlení, proč by to Apple udělal. To musí být chyba na straně Apple. “

Abychom znovu zopakovali, jak je situace špatná, vysvětlil Oleg Afonin společnosti Elcomsoft, že při útěku z vězení do zlomení zařízení 64 s bitem iOS by hackeři stále neměli výhodu extrahování dešifrovacích klíčů pro klíčenku, která obsahuje heslo nebo autentizační tokeny pro aplikace a bezpečnostní služby, které vyžadují ověřovací údaje.

S iOS 10, Alfonin zdůraznil, že hackeři mohou mít přístup k zálohám operačního systému, což jim umožňuje extrahovat a dešifrovat data z klíčenky.

Společnost Apple musí ještě reagovat na zprávy o svém údajně méně bezpečném mobilním operačním systému.

Zdroj

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.