Złamanie hasła do kopii zapasowej iTunes jeszcze prostsze, niż kiedykolwiek wcześniej

W iele można powiedzieć o iOS 10 – z jednej strony zachwyca nowościami (warto zwrócić uwagę szczególnie na widgety oraz możliwość usuwania aplikacji natywnych), z drugiej zaś razi niedopracowaniem (np. niewysyłaniem powiadomień czy nieczułością na ładowanie). Choć mankamenty wynikają jedynie z luk w oprogramowaniu, tak naprawdę trudno mieć do Apple pretensje o to – jesteśmy przecież tylko ludźmi, każdemu z nas zdarza się błądzić. Nie można jednak wybaczyć Apple jednego – narażenia naszych poufnych danych na atak. A to jest możliwe dzięki znacznemu uproszczeniu algorytmów przez koncern z Cupertino.Jak doskonale wiadomo, za pośrednictwem iTunes możemy dokonać zapisu lokalnej kopii zawartości iUrządzenia. Apple odpowiednio szyfruje wykonany przez nas backup, a jedynym sposobem dostępu do niego jest wpisanie hasła do powiązanego z backupem wykonanym z poziomu komputera Mac czy PC. Proste? Owszem. Tylko że wraz z wprowadzeniem iOS 10 Apple zmieniło mechanizm zabezpieczenia, w efekcie czego złamanie hasła do kopii zapasowej zajmuje w przybliżeniu 2500 razy mniej czasu.

Do odkrycia tej poważnej luki w zabezpieczeniach iOS 10 przyczyniła się rosyjska firma Elcomsoft, której łamacz haseł Phone Breaker 6.10 daje prawdopodobieństwo 90% na to, aby złamać dowolne hasło w przeciągu dwóch dni. Co gorsza, do narzędzia nie dodano jeszcze akceleracji GPU, która mogłaby znacznie przyspieszyć proces łamania hasła do kopii zapasowej.

Dlaczego tak łatwo złamać hasło w iOS 10?

Nie wiemy czy było to celowe działanie, a może czysty przypadek – jednak tym razem cała wina leży po stronie Apple. Mówiąc najprostszym językiem, algorytm szyfrowania iOS 10 pomija niektóre kontrole bezpieczeństwa. Wszędzie tam, gdzie dotychczas wykorzystywano funkcję sha1 wraz z funkcją wyprowadzenia klucza pbkdf2 (przeprowadzała ona 10 tysięcy iteracji), w nowej wersji znalazła się zwykła funkcja hashująca sha256 z jedną iteracją. Efekt? Praktycznie otwarcie drzwi dla złodziei naszych poufnych danych.

bezpieczenstwo-iphone-7-ios-10-haslo-icloud-kopia-zapasowa

Co to oznacza w praktyce?

Niestety nie możemy się oszukiwać – nie jest dobrze. Jeżeli przestępca zdobędzie w jakiś sposób kopię zapasową naszego iSprzętu, nie będzie musiał się długo trudzić z jej złamaniem. Phone Breaker 6.10 będzie w stanie złamać hasło zabezpieczające dzięki niezwykłemu tempu – w czasie jednej sekundy może bowiem sprawdzić aż 6 mln haseł, a w ciągu doby – aż 500 mld.
Jak kształtowało się łamanie haseł na przestrzeni lat? To pokazuje poniższe zestawienie. Aż strach myśleć, ile haseł można będzie złamać przy pomocy GPU:

iOS 9 (CPU): 2,400 haseł na sekundę (Intel i5)
iOS 9 (GPU): 150 000 haseł na sekundę (NVIDIA GTX 1080)
iOS 10 (CPU): 6 000 000 haseł na sekundę (Intel i5)

Co istotne, Apple zdaje sobie sprawę z problemu. W wydanym niedawno oświadczeniu dla Forbes czytamy, iż:„Jesteśmy świadomi problemu, który wpływa na siłę szyfrowania kopii zapasowych urządzeń z iOS 10 podczas tworzenia kopii zapasowej w iTunes na komputerze Mac lub PC. Pracujemy nad tą kwestią w kolejnej aktualizacji zabezpieczeń. To nie ma wpływu na kopie zapasowe w iCloud” powiedział rzecznik. „Zalecamy użytkownikom ochronę ich Maców lub PC silnymi hasłami, które są w rękach jedynie autoryzowanych użytkowników.”I choć trudno wybaczyć Apple takie zagranie, niestety trzeba przyznać koncernowi rację. Największy wpływ na nasze bezpieczeństwo mamy my sami. Pamiętajmy, że w ramach kopii zapasowej złodzieje mogą dostać nie tylko nasze zdjęcia i maile, ale również wszystkie hasła i loginy zapisane w Pęku Kluczy. A zatem jedyną formą obrony przed atakiem może być wymyślenie naprawdę trudnego do złamania hasła. Z tym zaś mamy problem, bowiem według badań co trzecie hasło znajdzie się na liście 10 tysięcy najpopularniejszych kombinacji.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Call Now Button