Złamanie hasła do kopii zapasowej iTunes jeszcze prostsze, niż kiedykolwiek wcześniej

Złamanie hasła do kopii zapasowej iTunes jeszcze prostsze, niż kiedykolwiek wcześniej

W iele można powiedzieć o iOS 10 – z jednej strony zachwyca nowościami (warto zwrócić uwagę szczególnie na widgety oraz możliwość usuwania aplikacji natywnych), z drugiej zaś razi niedopracowaniem (np. niewysyłaniem powiadomień czy nieczułością na ładowanie). Choć mankamenty wynikają jedynie z luk w oprogramowaniu, tak naprawdę trudno mieć do Apple pretensje o to – jesteśmy przecież tylko ludźmi, każdemu z nas zdarza się błądzić. Nie można jednak wybaczyć Apple jednego – narażenia naszych poufnych danych na atak. A to jest możliwe dzięki znacznemu uproszczeniu algorytmów przez koncern z Cupertino.Jak doskonale wiadomo, za pośrednictwem iTunes możemy dokonać zapisu lokalnej kopii zawartości iUrządzenia. Apple odpowiednio szyfruje wykonany przez nas backup, a jedynym sposobem dostępu do niego jest wpisanie hasła do powiązanego z backupem wykonanym z poziomu komputera Mac czy PC. Proste? Owszem. Tylko że wraz z wprowadzeniem iOS 10 Apple zmieniło mechanizm zabezpieczenia, w efekcie czego złamanie hasła do kopii zapasowej zajmuje w przybliżeniu 2500 razy mniej czasu.

Do odkrycia tej poważnej luki w zabezpieczeniach iOS 10 przyczyniła się rosyjska firma Elcomsoft, której łamacz haseł Phone Breaker 6.10 daje prawdopodobieństwo 90% na to, aby złamać dowolne hasło w przeciągu dwóch dni. Co gorsza, do narzędzia nie dodano jeszcze akceleracji GPU, która mogłaby znacznie przyspieszyć proces łamania hasła do kopii zapasowej.

Dlaczego tak łatwo złamać hasło w iOS 10?

Nie wiemy czy było to celowe działanie, a może czysty przypadek – jednak tym razem cała wina leży po stronie Apple. Mówiąc najprostszym językiem, algorytm szyfrowania iOS 10 pomija niektóre kontrole bezpieczeństwa. Wszędzie tam, gdzie dotychczas wykorzystywano funkcję sha1 wraz z funkcją wyprowadzenia klucza pbkdf2 (przeprowadzała ona 10 tysięcy iteracji), w nowej wersji znalazła się zwykła funkcja hashująca sha256 z jedną iteracją. Efekt? Praktycznie otwarcie drzwi dla złodziei naszych poufnych danych.

bezpieczenstwo-iphone-7-ios-10-haslo-icloud-kopia-zapasowa

Co to oznacza w praktyce?

Niestety nie możemy się oszukiwać – nie jest dobrze. Jeżeli przestępca zdobędzie w jakiś sposób kopię zapasową naszego iSprzętu, nie będzie musiał się długo trudzić z jej złamaniem. Phone Breaker 6.10 będzie w stanie złamać hasło zabezpieczające dzięki niezwykłemu tempu – w czasie jednej sekundy może bowiem sprawdzić aż 6 mln haseł, a w ciągu doby – aż 500 mld.
Jak kształtowało się łamanie haseł na przestrzeni lat? To pokazuje poniższe zestawienie. Aż strach myśleć, ile haseł można będzie złamać przy pomocy GPU:

iOS 9 (CPU): 2,400 haseł na sekundę (Intel i5)
iOS 9 (GPU): 150 000 haseł na sekundę (NVIDIA GTX 1080)
iOS 10 (CPU): 6 000 000 haseł na sekundę (Intel i5)

Co istotne, Apple zdaje sobie sprawę z problemu. W wydanym niedawno oświadczeniu dla Forbes czytamy, iż:„Jesteśmy świadomi problemu, który wpływa na siłę szyfrowania kopii zapasowych urządzeń z iOS 10 podczas tworzenia kopii zapasowej w iTunes na komputerze Mac lub PC. Pracujemy nad tą kwestią w kolejnej aktualizacji zabezpieczeń. To nie ma wpływu na kopie zapasowe w iCloud” powiedział rzecznik. „Zalecamy użytkownikom ochronę ich Maców lub PC silnymi hasłami, które są w rękach jedynie autoryzowanych użytkowników.”I choć trudno wybaczyć Apple takie zagranie, niestety trzeba przyznać koncernowi rację. Największy wpływ na nasze bezpieczeństwo mamy my sami. Pamiętajmy, że w ramach kopii zapasowej złodzieje mogą dostać nie tylko nasze zdjęcia i maile, ale również wszystkie hasła i loginy zapisane w Pęku Kluczy. A zatem jedyną formą obrony przed atakiem może być wymyślenie naprawdę trudnego do złamania hasła. Z tym zaś mamy problem, bowiem według badań co trzecie hasło znajdzie się na liście 10 tysięcy najpopularniejszych kombinacji.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Call Now Button