iTunes zálohovací hesla 'mnohem jednodušší' crack v iOS 10, Apple pracuje na opravu

iTunes zálohovací hesla 'mnohem jednodušší' crack v iOS 10, Apple pracuje na opravu

iOS 10 používá nový mechanismus pro ověřování hesel pro zálohování iTunes, který usnadňuje jejich prasknutí podle testů prováděných společností Elcomsoft, společnost, která se specializuje na software určený pro přístup k datům iPhone.

Šifrované zálohy iTunes vytvořené na počítačích Mac nebo PC jsou chráněny heslem, které může být potenciálně brutálně vynuceno softwarem pro prasknutí hesla. Metoda zálohování v systému iOS 10 „přeskočí určité bezpečnostní kontroly“, což umožňuje společnosti Elcomsoft vyzkoušet záložní hesla „přibližně 2500 krát rychleji“ ve srovnání s operačními systémy iOS 9 a staršími operačními systémy.

ios10

Získání hesla pro zálohu iTunes poskytuje přístup ke všem datům v telefonu, včetně dat uložených v souboru Keychain, které uchovávají všechna hesla uživatele a další citlivé informace.

V této době máme předčasnou implementaci, která obsahuje pouze procesorové zotavení. Nová bezpečnostní kontrola je přibližně 2,500 krát slabší ve srovnání se starým, který byl použit v zálohách iOS 9. V tuto chvíli dostáváme tyto rychlosti:

iOS 9 (CPU): hesla 2,400 za sekundu (Intel i5)

iOS 9 (GPU): hesla 150,000 za sekundu (NVIDIA GTX 1080)

iOS 10 (CPU): hesla 6,000,000 za sekundu (Intel i5)

Konkrétně bezpečnostní analytik Per Thorsheim Peerlyst Apple přešel z použití hashovacího algoritmu PBKDF2 s iteracemi 10,000 na použití algoritmu SHA256 s jedinou iterací, což umožňuje významné zvýšení rychlosti při brute vynucení hesla.

ios10passwordcrackingelcomsoftObrázek přes Peerlyst

Ve vyjádření Forbes, Apple potvrdil, že je si vědom problému a pracuje na opravě.

„Jsme si vědomi problému, který ovlivňuje sílu šifrování pro zálohování zařízení v systému iOS 10 při zálohování na iTunes v počítačích Mac nebo PC. Tento problém řešíme v připravované aktualizaci zabezpečení. To nemá vliv iCloud Zálohy, “řekl mluvčí. „Doporučujeme uživatelům, aby zajistili, že jejich počítače Mac nebo PC budou chráněny hesly a budou k nim mít přístup pouze oprávnění uživatelé. Další zabezpečení je také k dispozici s šifrováním celého disku FileVault. “

Jak Apple poukazuje, tento bezpečnostní dohled je omezen na zálohy vytvořené na Mac nebo PC a neovlivňuje bezpečnost záloh iCloud. Většina uživatelů se nemusí o tento problém starat, protože vyžaduje přístup k počítači Mac nebo PC, který byl použit k vytvoření zálohy.

Apple má aktualizace pro iOS 10 a MacOS Sierra v dílech, a je možné, že oprava bude zahrnuta v nových verzích softwaru. iOS 10.1 a MacOS Sierra 10.12.1 Tento týden byl vývojářům a veřejným beta testery nasazen.

Zdroj

Napsat komentář