專家指 iOS 11 不安全!更容易被攻擊

| 野原廣志 | 01-12-2017 10:00 | |
專家指 iOS 11 不安全!更容易被攻擊

與 Android 相比,Apple iOS 向來以高安全見稱,但最近有公司竟指最新的 iOS 11 並不安全。據 Mydrivers 報道,ElcomSoft是一家俄羅斯公司,他們表示現在許多執法機構和其他公司都在使用iPhone,但 Apple 保護加密iOS備份的方式發生了改變,使得設備更容易受到某些類型的攻擊。然而,它只適用於攻擊者對設備有物理訪問權限,並且能夠破解密碼。

這些變化是作為iOS 11的一部分特意引入的。該公司在一篇博客文章中表示,任何想要從iPhone中獲取私人數據的人都面臨著兩個挑戰。首先,他們必須能訪問設備本身,這通常需要知道或破解密碼。其次,即使使用了密碼,你也無法訪問設備上的所有數據,除非你也能破解該設備加密備份所使用的密碼。

Apple 以前使用的加密備份,是包含在Keychain數據鏈中的,讓你可以方便地訪問手機主人使用的任何賬戶,以及應用程序數據等。實際上,在許多情況下,當局和其他攻擊者會把精力集中在破解備份上,而不是設備本身,因為它提供了更容易獲取更多數據的途徑。

在iOS 11之前,如果你對iTunes進行了加密備份,那麼以後每次恢復數據都會使用保護備份的密碼,即使你換了Mac。密碼將成為你設置好的任何一台iPhone設備的綁定屬性,而不是用來設置密碼的PC(或iTunes的副本)。你可以將你的手機連接到另一台電腦上,用新安裝的iTunes拷貝進行本地備份,而備份仍然可以用你很久以前設置的密碼來保護。

任何更改或刪除密碼的嘗試都必須通過iOS,這需要首先提供舊密碼。忘記了原來的密碼?沒有回頭路,除非你願意重置設備,並在整個過程中丟失所有數據,否則沒有密碼你就拿不到任何想要的數據內容。

這意味著,即使侵入者擁有你的設備密碼,他們仍然無法訪問存儲在加密備份中的私有數據。

然而,在iOS 11中, Apple 改變了這種行為。你仍然不能修改現有密碼,但你可以重置設備上的密碼,然後用你選擇的新密碼做一個新的加密備份。然後你可以使用新密碼來訪問私有數據。 Apple 記錄了這一過程,所以這顯然是一個深思熟慮的決定,而不是一個漏洞。

Apple 似乎很可能會在便利性與安全性之間取得平衡,認為任何擁有設備密碼的人通常都可以合法訪問該設備。

對於那些忘記了備份密碼的人,以及那些已經去世但與家人分享了設備密碼的人來說,這種新的行為將會對他們有所幫助。不少人的觀點是,這種改變是有道理的。它帶來的風險其實還是非常低的:必須有人可以通過物理途徑訪問你的設備,並且還知道你設備的密碼。而 Apple 新措施的好處是,對於許多經常忘記密碼的人來說,有一個急救方案。

而且在日常使用中,我們真的用上備份密碼一般只有在升級設備時才會用到。但與此同時,ElcomSoft 的觀點也獲得了不少人的讚同。它確實會讓用戶數據變得不那麼安全,而且將人們的注意力吸引到這個事實是合情合理的,這樣任何關心這個問題的人都可以提前採取相應的措施。在這種情況下,我們可以通過設置更強大的設備密碼,讓侵入者無法輕易破解並保管好它。

Source: Mydrivers

Page 1 of 11