اپل جهت تقویت سیستم ضعیف رمزگذاری بکاپ در آی او اس 10، یک آپدیت امنیتی ارسال می کند
مبنی بر گزارشات اخیر بکاپ های رمزگذاری شده لوکال در آی او اس 10 که در آیتونز ساخته می شوند، ارائه دهنده امنیت مورد انتظار نیستند. با استناد به بیانات محققین شرکت نرم افزاری Elcomsoft در موسکو، آی او اس 10 از الگوریتم حفظتی قدیمی برای رمز عبور استفاده می کند که ضعیف می باشد. این شرکت نرم افزاری روسی با استفاده از نرم افزار PhoneBreaker که برای کرک کردن رمز عبور استفاده می شود، در حال کار بر روی آپدیت جدید آی او اس بوده و دریافتند که اپل از سیستم اعتبارسنجی متفاوتی برای آی او اس 10 استفاده کرده که برخی از کنترل های امنیتی را نادیده می گیرد. این شرایط هکر را قادر می سازد تا 2500 بار سریع تر از سیستم قدیمی که در آی او اس 9 بکار رفته بود، رمزهای عبور مختلف را امتحان کند و همین شرایط نیز استفاده از brute force attack در آی او اس 10 را تسهیل می بخشد.
ریسکی که در این میان کاربران را تهدید می کند به رمزهای عبور و آمار و ارقامی مربوط است که با استفاده از اپلیکیشن Health ساخته شده اند. اپل از این وضعیت پیش آمده مطلع بوده و در حال برنامه ریزی جهت انتشار یک آپدیت نرم افزاری است که امنیت بکاپ های آی او اس 10 را تقویت نماید.
PhoneBreaker در آی او اس 10 قادر به امتحان کردن 6 میلیون پسورد در هر ثانیه است که در مقایسه با 2400 پسورد در ثانیه که در آی او اس 9 قابل اجرا بود رقم چشمگیری می باشد، البته ذکر این نکته ضروری است که هیچیک از این بکاپ ها در iCloud ساخته نشده اند.
همانطور که در ابتدا نیز به آن اشاره کردیم، الگوریتم حفاظت از رمز عبور PBKDF2 در آی او اس 10، قدیمی تر از نسخه قبلی یعنی الگوریتم SHA256 می باشد. مبنی بر یافته های Elcomsoft حدود 10000 رمز عبور مشابه توسط 30 درصد از حساب های کاربری مورد استفاده قرار می گیرد و این شرایط PhoneBreaker را قادر به استفاده از brute force attack به صورت موفقیت آمیز و کرک کردن پسورد بکاپ کاربر و بدست آوردن داده ها در 80 تا 90 درصد از تلاش ها می گرداند، این درصد بالا در نتیجه دو روز تلاش نرم افزار بر روی الگوریتم ضعیف تر PBKDF2 حاصل شده است.
به پیشنهاد اپل افرادی که در مک خود داده های بکاپ از آی او اس را ذخیره کرده اند بهتر است از نرم افزار رمزگذاری دیسک به نام FileVault استفاده کرده و یک لایه امنیتی را اضافه کنند.
به بیان سخنگوی اپل:
ما از این مشکل پیش آمده در ارتباط با رمزگذاری دستگاه هایی که آی او اس 10 بر روی آنها نصب شده و بکاپ گیری را در مک یا پی سی به آیتونز انجام می دهند آگاهی داریم و در آپدیت نرم افزاری جدید این مشکل را مورد توجه قرار داده و رفع نموده ایم، این مشکل گریبان گیر بکاپ های iCloud نمی باشد. ما به کاربران پیشنهاد می دهیم که از این بابت که مک یا پی سی آنها با پسوردهای قدرتمندی محافظت شده و تنها توسط کاربران احراز هویت شده قابل دسترسی اند، اطمینان حاصل کنند، امنیت بیشتر توسط FileVault که نوعی رمزگذاری دسیک است امکان پذیر می باشد.
اپریویو
