不升级是对的:最新iOS 10存在密码验证漏洞

简介:

苹果最新iOS 10系统版本包含有缺陷的密码验证机制,这严重影响该移动操作系统的安全性。

网络取证公司Elcomsoft披露iOS的密码验证系统存在“重大安全漏洞”,这可能破坏本地备份的保护,并让攻击者对用户登录凭证进行暴力破解成功的几率增加40倍。

新的密码验证机制是对旧机制的补充,旧机制目前仍然安全。然而,新机制允许Elcomsoft公司向其移动设备取证产品执行攻击。该攻击可用于解密本地备份,其中包括钥匙串数据。其结果是,攻击者可利用这个iOS漏洞获取密码和身份验证令牌,以及信用卡信息以及任何其他应用卡分发者认为敏感且要求在钥匙串加密的数据。

“我们发现iOS 10备份保护机制存在严重安全漏洞,这个安全漏洞让我们可开发新的攻击,帮助我们在破解保护iOS 10设备的本地(iTunes)备份的密码时绕过本地安全检查,”Elcomsoft公司安全研究人员Oleg Afonin称,“这种安全漏洞的影响非常严重,与对iOS 9备份完全优化的GPU辅助攻击相比,这种攻击(Elcomsoft Phone Breaker 6.10中提供)早期仅CPU部署就可实现40倍性能提升。”

虽然苹果已经意识到这个漏洞,但似乎该漏洞没有出现在苹果的新漏洞赏金计划中,该计划专门用于发现iOS漏洞中。

“我们注意到当备份iOS 10设备到Mac或PC的iTunes时,一个漏洞影响着备份的加密强度,我们正在解决这个问题,并将发布在即将推出的更新中,”Apple发言人称,“这并不会影响icloud备份,我们建议用户确保其Mac或PC使用强大的密码保护,并只能由授权用户访问。FileVault全磁盘加密也可提供额外的保护。”

当Elcomsoft更新其Phone Breaker产品来支持iOS 10时,他们发现替代密码验证机制被添加到iOS备份。

“我们调查了一下发现,新机制会跳过某些安全检查,与iOS 9或更旧版本中使用的机制相比,新机制让我们可以2500倍更快的速度尝试密码,”Afonin称,“这个新的攻击向量专门针对iOS 10设备生成的受密码保护的本地备份。攻击本身只可用于iOS备份。有趣的是,‘新’的密码验证方法与‘旧’的方法并存,这意味着将继续保持此前的慢速度运行。”

PasswordsCon公司创始人Per Thorsheim想知道苹果公司是否故意部署这个新机制。

“苹果已经审核过很多iOS 10测试版,这并不像是纯粹的错误,”他表示,“苹果需要回答的问题是,这种对安全性和隐私性的广泛削弱是否是故意的,这是愚蠢的错误还是因为加密/开发人员的失误?”

本文转自d1net(转载)

相关文章
|
4天前
|
移动开发 前端开发 数据安全/隐私保护
iOS发布证书.p12文件无密码解决办法及导出带密码的新.p12文件方法
iOS发布证书.p12文件无密码解决办法及导出带密码的新.p12文件方法
45 0
|
8月前
|
设计模式 测试技术 iOS开发
带你读《2022技术人的百宝黑皮书》——淘宝iOS扫一扫架构升级 - 设计模式的应用(1)
带你读《2022技术人的百宝黑皮书》——淘宝iOS扫一扫架构升级 - 设计模式的应用(1)
237 0
|
7月前
|
移动开发 前端开发 数据安全/隐私保护
iOS发布证书.p12文件无密码解决办法及导出带密码的新.p12文件方法
本文将以iOS技术博主身份,分享解决使用无密码的.p12文件发布应用时遇到的问题,并介绍如何以带密码的方式重新导出.p12文件的方法。通过本文提供的步骤,开发者可以顺利完成证书的发布流程。
|
8月前
|
iOS开发 Perl
iOS Cocoapods 升级
iOS Cocoapods 升级
66 0
|
8月前
|
设计模式 API iOS开发
带你读《2022技术人的百宝黑皮书》——淘宝iOS扫一扫架构升级 - 设计模式的应用(2)
带你读《2022技术人的百宝黑皮书》——淘宝iOS扫一扫架构升级 - 设计模式的应用(2)
272 0
|
8月前
|
设计模式 API iOS开发
带你读《2022技术人的百宝黑皮书》——淘宝iOS扫一扫架构升级 - 设计模式的应用(3)
带你读《2022技术人的百宝黑皮书》——淘宝iOS扫一扫架构升级 - 设计模式的应用(3)
410 0
带你读《2022技术人的百宝黑皮书》——淘宝iOS扫一扫架构升级 - 设计模式的应用(3)
|
4天前
|
移动开发 开发工具 数据安全/隐私保护
iOS APP 版本更新升级教程:如何打包上架新的 APP 版本?
iOS APP 版本更新升级教程:如何打包上架新的 APP 版本?
iOS APP 版本更新升级教程:如何打包上架新的 APP 版本?
|
7月前
|
数据安全/隐私保护 iOS开发
生成IOS app专用密码教程
生成IOS app专用密码教程
|
7月前
|
数据安全/隐私保护 Android开发 iOS开发
解决第三方邮箱APP登陆QQ、163邮箱无法验证账户名或密码的问题(IOS、MacOS、Windows、Android)
解决第三方邮箱APP登陆QQ、163邮箱无法验证账户名或密码的问题(IOS、MacOS、Windows、Android)
122 0
|
7月前
|
安全 Go 数据安全/隐私保护
免费升级到 iOS 17 Developer Beta:官方Apple Store升级方案与爱思助手方法比较
免费升级到 iOS 17 Developer Beta:官方Apple Store升级方案与爱思助手方法比较
258 0