В iOS 10 используется новый механизм проверки паролей для резервных копий iTunes, который облегчает их взлом, согласно тестированию, проведенному Elcomsoft, компанией, специализирующейся на программном обеспечении для доступа к данным iPhone.
Зашифрованные резервные копии iTunes, созданные на Mac или ПК, защищены паролем, который потенциально может быть подвергнут брутфорсу с помощью программного обеспечения для взлома паролей. Метод резервного копирования в iOS 10 «пропускает определенные проверки безопасности», позволяя Elcomsoft пытаться подобрать пароли для резервных копий «примерно в 2500 раз быстрее» по сравнению с iOS 9 и более ранними операционными системами.
Получение пароля для резервной копии iTunes предоставляет доступ ко всем данным на телефоне, включая те, что хранятся в связке ключей, которая содержит все пароли пользователя и другую конфиденциальную информацию.
В настоящее время у нас есть ранняя реализация с восстановлением только на ЦП. Новая проверка безопасности примерно в 2500 раз слабее по сравнению со старой, которая использовалась в резервных копиях iOS 9. В настоящее время мы получаем такие скорости:
iOS 9 (ЦП): 2400 паролей в секунду (Intel i5)
iOS 9 (ГП): 150 000 паролей в секунду (NVIDIA GTX 1080)
iOS 10 (ЦП): 6 000 000 паролей в секунду (Intel i5)
В частности, аналитик по безопасности Пер Торсхейм из Peerlyst говорит, что Apple перешла от использования алгоритма хеширования PBKDF2 с 10 000 итераций к использованию алгоритма SHA256 с одной итерацией, что значительно увеличивает скорость при брутфорсе пароля.
В заявлении, сделанном для Forbes, Apple подтвердила, что осведомлена о проблеме и работает над ее устранением.
«Мы осведомлены о проблеме, которая влияет на силу шифрования резервных копий устройств на iOS 10 при резервном копировании в iTunes на Mac или ПК. Мы решаем эту проблему в предстоящем обновлении безопасности. Это не влияет на резервные копии iCloud», — заявил представитель. «Мы рекомендуем пользователям убедиться, что их Mac или ПК защищены надежными паролями и доступны только авторизованным пользователям. Дополнительная защита также доступна с помощью шифрования всего диска FileVault».
Как отмечает Apple, этот просчет безопасности ограничен резервными копиями, созданными на Mac или ПК, и не влияет на безопасность резервных копий iCloud. Большинству пользователей, вероятно, не стоит беспокоиться об этой проблеме, поскольку она требует доступа к Mac или ПК, который использовался для создания резервной копии.
У Apple готовятся обновления для iOS 10 и macOS Sierra, и вполне возможно, что исправление будет включено в новые версии программного обеспечения. iOS 10.1 и macOS Sierra 10.12.1 были выпущены для разработчиков и публичных бета-тестеров на этой неделе.
