法制晚報·看法新聞(記者 李娜)據《財富》週刊報道,一位安全研究人員近日稱,發現一種破解iPhone密碼的方式。黑客可通過虛擬鍵盤假裝鍵入大量密碼,從而將iOS設備解鎖。
此種解鎖方式通過USB數據傳輸,發送所有可能的四位數PIN密碼組合。破解方法可繞
過蘋果的密碼安全保護措施,一旦密碼組合配對,就可以解鎖手機。
在週五中午發佈的視頻中,安全研究人員馬修·希基演示發送連續的鍵盤輸入流 ,通俗地說,希基讓輸入密碼的速度非常快,從而繞過了蘋果的安全保護功能。隨後,馬修將這一發現報告給了蘋果公司。
據瞭解,在蘋果系統的密碼保護功能下,輸入錯誤的密碼時有一定的延遲。當用戶輸入10次錯誤密碼時,系統會自動擦除設備數據。
近日,蘋果公司表示,新的iOS系統更新將包含相關限制模式。如果設備距離上次解鎖過去已經一個小時,USB訪問會被自動切斷。由於向iPhone發送不同密碼組合進行猜測的時間要遠遠多於1個小時,這一新功能會大大增加黑客入侵設備並獲取數據的難度。
蘋果公司還指出,他們已經針對通過USB連接的外圍設備(如鍵盤)加以限制,以修復它發現的安全漏洞和缺陷。希基的測試針對的是iOS 11.3版本,而當前的最新版本為iOS11.4,修正了限制模式的iOS12則將在今年秋天發佈。
在希基的測試中,手機處理每個鍵入密碼的速度大約為三到五秒。而對四位數的密碼來說,有10000種可能的組合,這需要幾天才能全部測試完每個組合。多年來,蘋果公司建議iOS系統用戶使用六位數的安全代碼,即使採用希基的暴力破解方法,也需要數週時間才能解開密碼。然而,安全研究人員和黑客們都擁有常見的密碼錶,將大多數人常用的密碼輸入設備後,則會大大加快破解速度。
那麼此種破解iPhone密碼的新方法對國內有何影響呢?
法制晚報·看法新聞記者諮詢了網絡安全專家李鐵軍。李鐵軍表示,此種解鎖方式主要是通過外接裝置來讓蘋果的防禦功能失效,從而可以不停嘗試密碼,達到其解鎖目的。對於國內來說,如果被不法分子利用,可能會利於專門盜竊iPhone的慣偷。iPhone的盜竊與銷贓已經形成了成熟的產業鏈。通常偷來的iPhone會先進行解鎖。可以解鎖的iPhone價格要貴1000元左右,而無法解鎖的設備,只能拆機分開出售零件。
那麼,一般用戶如何避免密碼洩露呢?
李鐵軍解釋,基本上一般用戶使用的密碼,都在常用密碼庫中。單純依靠密碼認證已經被認為是不安全的。目前的解決辦法就是主流網絡商提供的雙重驗證服務,即“密碼+另一種認證(如短信驗證碼,動態密碼)”。後來掃碼驗證興起,成為雙重身份驗證的簡單方法。隨著技術進步,指紋驗證與人臉認證興起。儘管這兩種驗證方式方便易用,但安全風險較大。用戶進行安全性要求極高的交易支付時,應非常謹慎地使用這些驗證方式。以銀行系統的指紋驗證為例,必須授權在指定設備上使用。而面部識別認證的安全性要低於指紋認證,因此支付驗證在使用此種技術時十分謹慎。
閱讀更多 壹現場 的文章
