iOS 10 正式版更新没多长时间,在意想不到的地方出现了可能被攻破的安全漏洞:iTunes 备份。 iOS 使用 iTunes 备份时,是将手机上除了应用程序本身之外的所有信息都备份到几个加密文件里的,包括联系人、通话记录、短信和所有的应用程序的存档和个人信息。如果有人获得了你加密的 iOS 设备的备份文件,破解密码之后也可以得到你的个人信息,就和得到你的 iPhone 本身一样。 数据安全公司 Elcomsoft 研究结果显示,在最新的 iTunes 中,对 iOS 10 设备进行备份的时候,加密算法发生了一些改变。苹果把 iOS 9 及以前使用的 PBKDF 哈希算法改成了 SHA256 算法,前者的复杂程度是后者的一万倍。 这导致的后果就是,如果有人试图用暴力破解的办法“猜”你的密码,来自 iOS 10 的备份就比来自 iOS 9 的要危险 2500 倍:因为算法所限,使用一台常规计算机暴力破解 iOS 9 备份密码的性能大约只能达到 2400 次每秒,而破解 iOS 10 备份的密码可以达到 600 万次每秒。 苹果已经发表了声明,确认了这个问题,并表示会在后续的版本中修复它。苹果同时称,在 iCloud 云端加密的备份没有这个问题,也敦促用户给电脑设置合理的密码,以及可以打开 macOS 的 FileVault 磁盘加密确保安全。 实际上,这个安全漏洞的影响并不会很大,因为要取得你的 iOS 备份,首先你必须选择在本地备份,攻击者还要破解你 Mac 计算机的密码,或者从网络端攻破你的电脑才能取得你的备份文件。 不过从一个侧面也显示,无论是安全专家还是攻击者,都有无数人盯着苹果的产品。我们能做的是,给你的设备加上合理的强密码才能最大程度保证安全。 题图/matthewjoelsblog.com
