蘋果最新ios 10系統版本包含有缺陷的密碼驗證機制,這嚴重影響該移動作業系統的安全性。
網路取證公司elcomsoft披露ios的密碼驗證系統存在「重大安全漏洞」,這可能破壞本地備份的保護,並讓攻擊者對使用者登入憑證進行暴力破解成功的機率增加40倍。
新的密碼驗證機制是對舊機制的補充,舊機制目前仍然安全。然而,新機制允許elcomsoft公司向其移動裝置取證產品執行攻擊。該攻擊可用於解密本地備份,其中包括鑰匙串資料。其結果是,攻擊者可利用這個ios漏洞獲取密碼和身份驗證令牌,以及信用卡資訊以及任何其他應用卡分發者認為敏感且要求在鑰匙串加密的資料。
「我們發現ios 10備份保護機制存在嚴重安全漏洞,這個安全漏洞讓我們可開發新的攻擊,幫助我們在破解保護ios 10裝置的本地(itunes)備份的密碼時繞過本地安全檢查,」elcomsoft公司安全研究人員oleg afonin稱,「這種安全漏洞的影響非常嚴重,與對ios 9備份完全優化的gpu輔助攻擊相比,這種攻擊(elcomsoft phone breaker 6.10中提供)早期僅cpu部署就可實現40倍效能提公升。」
雖然蘋果已經意識到這個漏洞,但似乎該漏洞沒有出現在蘋果的新漏洞賞金計畫中,該計畫專門用於發現ios漏洞中。
當elcomsoft更新其phone breaker產品來支援ios 10時,他們發現替代密碼驗證機制被新增到ios備份。
「我們調查了一下發現,新機制會跳過某些安全檢查,與ios 9或更舊版本中使用的機制相比,新機制讓我們可以2500倍更快的速度嘗試密碼,」afonin稱,「這個新的攻擊向量專門針對ios 10裝置生成的受密碼保護的本地備份。攻擊本身只可用於ios備份。有趣的是,『新』的密碼驗證方法與『舊』的方法並存,這意味著將繼續保持此前的慢速度執行。」
passwordscon公司創始人per thorsheim想知道蘋果公司是否故意部署這個新機制。
「蘋果已經審核過很多ios 10測試版,這並不像是純粹的錯誤,」他表示,「蘋果需要回答的問題是,這種對安全性和私隱性的廣泛削弱是否是故意的,這是愚蠢的錯誤還是因為加密/開發人員的失誤?」
Linux公升級時不公升級核心的配置說明
redhat centos使用 yum update 更新時,缺省會公升級核心。但有些伺服器硬體在公升級核心後,新的核心可能會認不出某些硬體,要重新安裝驅動,很麻煩。所以在生產環境中不要輕易的公升級核心,除非您確定公升級核心後不會出現麻煩的問題。如果使用yum update更新時不公升級核心,有兩種...
什麼是IO(一) IO的分層
io效能對於乙個系統的影響是至關重要的。乙個系統經過多項優化以後,瓶頸往往落在資料庫 而資料庫經過多種優化以後,瓶頸最終會落到io。而io效能的發展,明顯落後於cpu的發展。memchached也好,nosql也好,這些流行技術的背後都在直接或者間接地迴避io瓶頸,從而提高系統效能。io系統的分層 ...
公升級Git版本到最新的方法
在開發的過程中,git是我們用的最多的軟體之一,下面來看看git版本公升級的方法 windows下的公升級方法 windows7 10或以上版本 開啟git cmd命令視窗,輸入以下命令 git update git for windows等待自動公升級完成即可 linux下公升級方法 以ubunt...