你好,歡迎來到IOS教程網

 Ios教程網 >> IOS教程 >> 蘋果刷機越獄教程 >> 絕不姑息!蘋果“凶殘”解決iOS10漏洞問題

絕不姑息!蘋果“凶殘”解決iOS10漏洞問題

編輯:蘋果刷機越獄教程

9月中旬在iPhone7和iPhone7Plus上市前夕,蘋果公司的iOS10新一代移動操作系統上線了,很多用戶都迫不及待地更新到這個新的系統版本中。iOS10為用戶帶來了在信息、地圖、Siri、照片和AppleMusic等更新,最重大的更新是蘋果為Siri和信息等平台開放了更多的接口,用戶為了體驗這些便利都迫不及待地進行了更新。

根據蘋果公司在其開發者支持頁面上公布,截止10月7日AppStore的數據顯示iOS10的安裝率為54%,看起來“權杖”的交接已經很順利的完成。

iOS10一上線就被曝光有漏洞

不過也是在新系統上線後不久,有一個來自俄羅斯的團隊Elcomsoft在其官方博客上透露,他們發現了一個存在於iOS10系統上的新漏洞,可以用來破解iTunes的備份文件。即使是用暴力破解這種看上去不太“高端”的手段,攻擊者都能夠相比以前更快地獲取備份文件中的信息。據說他們破解的速度“比之前的iOS版本快了大約2500倍”。

iOS的備份文件被破解是非常危險的,因為諸如密鑰、通訊簿、短信、通話記錄、照片和視頻等各種信息都會包含在裡面,甚至還有已保存的密碼記錄,還有各種網站的身份驗證令牌。一旦iOS10環境下的iTunes備份文件遭到洩露,它就有被不懷好意者輕易破解的危險。

Elcomsoft團隊通過自家的破解工具去解析iOS10的時候,他們發現iOS10的備份文件中存在著另一種新的密碼認證機制。讓人驚訝的是,這個新的機制省略掉了某些安全檢查,讓黑客可以輕松又快速地獲取關鍵信息。

這樣的暴力破解攻擊僅僅針對iOS10設備所產生的,設置密碼保護的本地備份文件,對舊式的備份文件效率不高。有趣的是,在iOS10系統中,新的密碼認證機制和舊有機制是並存的。這種破解手段僅和系統版本有關,無關機型,只要更新至iOS10,漏洞就會存在。

根據這個團隊的測試結果,在暴力破解iOS9的時候,如果是用英特爾i5處理器進行CPU運算,只能做到每秒鐘嘗試2400個密碼而已。即使利用NvidiaGTX1080這麼強大的硬件進行GPU破解,也不過是每秒試驗15萬個密碼。然而到了iOS10上,還是用原來那塊i5處理器,處理速度迅速暴漲到了每秒600萬個密碼。這樣一來,找到正解的耗時就將被大幅縮短。

更可怕的是,Elcomsoft表示自家的軟件在更新後已經支持該攻擊手段了。因為更新倉促,團隊還沒有為其加入相應的GPU加速。即便如此,它的破解速度和過去的版本相比已經快得嚇人,Elcomsoft暗示說效率其實還可以繼續提高。

不過話又說回來,我們也不需要因此恐慌得不敢再用iOS10,因為黑客想要破解你的備份文件,大前提是他手頭上要有你的備份文件。如果他好不容易終於訪問到了你的電腦,突然發現你更習慣用iCloud來備份,那就白費勁了。

蘋果迅速采取行動

另外蘋果方面已經承認了這個漏洞的存在而且已經采取了行動。在此前發布的iOS10.1系統中蘋果已經對這個問題進行了一次修復。而在最新發布的iOS10.2的beta版本中,蘋果在系統中對安全性能進行了進一步的強化,破解加密的iTunes備份比之前要困難得多。來自iMazing的安全專家表示,跟iOS10.1相比,要破解iTunes備份密碼需要多出大約1000倍的處理能力。新的測試版系統對於驗證用戶密碼方面的處理能力要求變得更高了,它通過添加更多的迭代次數來生成密鑰。蘋果公司表示,從理論上來說,黑客想要破解密碼需要1000年,簡直太“凶殘”了!

不過此前在剛剛發現這個漏洞的時候,Elcomsoft的CEO弗拉迪米爾·卡塔洛夫(VladimirKatalov)就表示,他仍然認為iOS是安全的。他在文章中說,破解已經變得越來越難。在iOS10還沒有越獄的眼下,物理手段是不可能的,即使是在舊機型上,即使你知道密鑰。Cloud破解只有在你知道用戶的AppleID和密碼,或是訪問他的電腦獲取iCloud認證令牌後才能夠實現。“蘋果智能手機是安全的,iOS也是安全的。”

安全意識強化

或許是因為今年年初蘋果公司與FBI的一場風波,如今更多用戶和個人都會注意自己的設備。今年早些時候iOS10中還曝光了另外一個“安全問題”,有開發者在iOS10測試版中發現蘋果沒有給iOS內核加密。

不過根據蘋果方面的介紹,iOS10測試版內核沒有加密的原因是為了在測試階段,通過不給iOS10的內核加密,鼓勵更多人去研究他們的代碼,從而發現存在的漏洞,這大大降低了蘋果自己進行逆向工程的成本和難度,從而使得蘋果更快地修復操作系統的漏洞,這就是蘋果冒險一搏的原因。

所以我們其實不必擔心iOS10的安全問題,因為這正是蘋果為了更快更全面地找到iOS10系統中的漏洞和缺陷,並更快更好地修復它們,為用戶提供更安全的服務而做的努力。這也正反映了蘋果在其產品安全性方面的堅守和決心。

另外今年早些時候,蘋果宣布推出漏洞獎勵計劃,根據研究人員所發現的漏洞和問題的不同,蘋果公司最多會提供高達20萬美元的獎勵。如果是發現安全boot固件方面的問題,研究人員可以獲得20萬美元的獎勵,但如果是小的漏洞,最多只能得到25000美元的獎勵。

對於蘋果公司來說,他們一直以來都強調用戶數據安全,所以一般在旗下的平台中,他們應該不會粗心大意地漏掉一些容易被破解、對用戶造成危害的漏洞,用戶還是大可以放心的。

  1. 上一頁:
  2. 下一頁:
蘋果刷機越獄教程| IOS教程問題解答| IOS技巧綜合| IOS7技巧| IOS8教程
Copyright © Ios教程網 All Rights Reserved