Apple修复iOS 10中的备份安全漏洞
Microsoft重新发布补丁KB 2952664,2976978和2977759
Gigaclear BDuk宽带推出到达中途
新加坡拼出电子支付愿景
英国政府合作伙伴与科技初创公司在网络安全
MPS劳里斯的运动在英国审判
里约热内卢在2016年奥运会上面临4G挑战
最高法院拒绝对谷歌书籍扫描项目的挑战
遇见Robocar,为AI动力雄鹿队的无人驾驶赛车
Swift警告银行的Cyber​​ Heists
Dropbox想要将桌面文件存储拉伸到无限远
微软向银行提供新的合作伙伴关系
埃里森在Oracle开放世界2016年抨击AWS
无纸化2020“可能会失败”,Wachter审查NHS IT
verizon以波士顿用光纤互联网代替铜
新的电子显示器比人类皮肤更薄10倍
黑客竞争妥协POS系统
在Build,Microsoft尝试了不同的方式来移动开发人员的心
芬兰欧普金融集团概述数字野心
FCC旨在恢复商业宽带市场的竞争,可能有助于削减成本
MPS在BT OpenReach和宽带USO上分开
加利福尼亚州的15美元 - 每小时最低工资可能会刺激自动化
桌面3D打印机的销售爆炸,增长近70%
研究人员警告说,零售网站凭借安全漏洞串行
你应该了解区块链的5件事
MesoSeer Open Sources DC / OS数据中心管理平台
商业警告不要对网络安全自满
不到三分之一的组织为IOT安全风险做好准备
那个用一系列代码删除整个公司的人?这是一个骗局
Zuora Ups ante,并将它拿到旧学校供应商
那一刻你意识到你用机器人交换电子邮件
报告说,verizon和centurylink接近搭配数据中心卖出
儿童的行动如何改善IT服务交付
横幅卫生网络泄露强调需要更快的入侵检测
MI5工作人员反复覆盖数据监控规则
拒绝员工的请求,象征营业首席执行官将裁员裁员裁员
伦敦数据中心市场享有预先发布的扑发空间的需求
僵尸操作系统:Windows XP仍在支持结束后两年为181米PC供电
字母x获得预先测试美国的送货无玻璃器
Hewlett Packard Enterprise扩展了按需分析
Microsoft用Azure函数服务发出AWS,更多
太阳能飞机在硅谷陆地
网络轨雇用Jeremy Vincent作为CIO
RSA的任务由Dell-Emc Merger不变,说Amit Yoran说
FCC投票为严格的新宽带隐私规则
立法者呼吁中间立场对执法进入加密
Apple用天窗处理器刷新MacBook
谷歌打开英国数据中心区域,因为企业云推车速度
澳大利亚安全辩论中的身份突出
DWP开始私人测试版Uld CIS数据库
您的位置:首页 >论坛 > 电子业界 >

Apple修复iOS 10中的备份安全漏洞

2021-06-26 09:44:10 [来源]:

Apple计划修复IOS 10的漏洞,由争议俄罗斯前义公司elcomsoft发现iPhone安全的风险。

该公司表示,Apple为iOS 10添加了替代密码验证机制,无意中削弱了本地备份的安全性。

Elcomsoft生产可用于任何买家的iPhone探测工具,声称在iOS 10备份保护机制中发现了“主要安全漏洞”。

根据每个Thorsheim的安全研究员,该机制使用比以前的基于密码的关键推导函数2(PBKDF2)使用SHA1(Secure Hash算法)的算法,它使用10,000次迭代来混淆凭据。

他说,iOS 10中的新密码验证方法使用256位SHA2的一次迭代密码保护功能,这使得暴力凭证裂缝显着更容易。

Elcomsoft声称漏洞利用弱点来开发能够绕过某些安全检查的攻击,当枚举密码保护iOS 10设备制作的本地iTunes备份时。

“这种安全疲软的影响是严重的。仅提前的CPU实施该攻击,与IOS 9备份的完全优化的GPU辅助攻击相比,延迟了40倍的性能提升,“Elcomsoft的Oleg Afonin在博客文章中写道。

如果在这两种情况下使用CPU版本,则野蛮力攻击使Elcomsoft的开发人员能够尝试比IOS 9快2500倍的密码。

AFONIN表示,“新”密码验证方法与“旧”方法并联,该方法继续使用与以前相同的缓慢。

根据Afonin的说法,这种方法是黑客最合乎逻辑的,因为iPhone和iOS是安全的,并且变得越来越难以破解。

“没有为iOS 10提供越狱,即使在旧的设备上,身体采集也在问题中,即使您知道密码,即使您知道密码,”他写道。

“只有您知道用户的Apple ID和密码或使用iCloud控制面板访问用户的计算机(用于提取身份验证令牌),但即使那么您将无法解密钥匙串,才能访问云获取。

他说,强制iPhone或iPad生成脱机备份并分析结果是运行iOS 10的设备的几个采集选项之一。

根据Afonin的说法,如果iPhone解锁,本地备份很容易生产,但是,即使通过使用从可信计算机提取的配对记录锁定电话,黑客也可以生成本地备份。

“如果您能够打破密码,您将能够解密备份的整个内容,包括Keychain。此时,逻辑采集仍然是iPhone 5s,6 / 6plus,6s / 6splus和7/7plus运行iOS 10可用的唯一采集选项,它提供了访问设备钥匙串,“他写道。

Keychain是Apple的受保护存储,该存储还在文件级别上的文件级别加密,在已在块级别工作的已存在的全磁盘加密上。在存储在设备上时,钥匙串将被密钥加密,该键被埋在安全的飞地深处。

根据AFONIN,通过密码保护的iTunes备份的逻辑采集是目前唯一可以从iOS 10设备中提取和解密钥匙链数据的唯一方法。

成功进行了这样做的黑客,增加了AFONIN,获得了对所保存的密码或身份验证令牌的应用程序,以便为身份验证凭据,SAFARI登录和密码,信用卡信息,Wi-Fi网络信息以及第三方的任何数据进行安全存储App Developer认为值得额外的保护。

Apple在一份声明中表示,该公司了解在Mac或PC上备份iOS 10上的备份设备的加密强度的问题,并将在安全更新中解决它。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。