Οι χάκερ μπορούν να κλέψουν πιο εύκολα τους κωδικούς σας με το iOS 10 της Apple
- 08/10/2016, 19:00
- SHARE
Το «κενό» σχετίζεται με τη δημιουργία αντιγράφων ασφαλείας με χειροκίνητο τρόπο στο iPhone και iPad που ξεκινούν οι χρήστες μέσω του iTunes.
Το νέο λειτουργικό σύστημα iOS 10 της Apple διαθέτει ένα πιθανό κενό ασφαλείας που θα μπορούσε να επιτρέψει στους χάκερ να αποκτήσουν πρόσβαση σε κωδικούς πρόσβασης και σε άλλες ευαίσθητες πληροφορίες, δήλωσε την Παρασκευή μια εταιρεία παροχής υπηρεσιών ασφαλείας.
Το λογισμικό περιλαμβάνει έναν νέο τρόπο κρυπτογράφησης των αντιγράφων ασφαλείας (backup) του iPhone μέσω του iTunes, που δίνει στους χάκερ πολύ μεγαλύτερη δυνατότητα απόκτησης κωδικών πρόσβασης ενός στόχου από την προηγούμενη έκδοση του iOS, δήλωσε την Παρασκευή η ρωσική εταιρεία ανάκτησης κωδικών Elcomsoft. Οι χάκερ μπορούν να κάνουν μια επίθεση «ωμής βίας», μια τεχνική που περιλαμβάνει την αυτόματη δοκιμή διαφορετικών συνδυασμών κωδικών πρόσβασης, για να σπάσουν τους κωδικούς πρόσβασης των αντιγράφων ασφαλείας των χρηστών του iOS 10, να κλέψουν στοιχεία της πιστωτικής κάρτας και να διεισδύσουν στο διαχειριστή κωδικών πρόσβασης Keychain της Apple, ένα ψηφιακό κέντρο όπου αποθηκεύονται οι κωδικοί πρόσβασης των χρηστών και άλλα στοιχεία ταυτότητας.
Σύμφωνα με την Elcomsoft, χάκερ που χρησιμοποιούν το λογισμικό της σπασίματος κωδικών πρόσβασης Phone Breaker, μπορούν να δοκιμάζουν έξι εκατομμύρια κωδικούς ανά δευτερόλεπτο στα αντίγραφα ασφαλείας του iOS 10 προσπαθώντας να ξεκλειδώσουν τα δεδομένα. Στο iOS 9 της Apple, που κυκλοφόρησε το περασμένο έτος, η κρυπτογράφηση έθετε ανώτατο όριο αυτών των προσπαθειών τους 150.000 κωδικούς πρόσβασης ένα δευτερόλεπτο.
Η διαφορά αυτή κάνει 2.500 φορές πιο εύκολο για τους χάκερ να αποκτήσουν έναν κωδικό πρόσβασης με το iOS 10, σύμφωνα με την Elcomsoft.
Το ελάττωμα αυτό σχετίζεται μόνο με τη δημιουργία αντιγράφων ασφαλείας με χειροκίνητο τρόπο στο iPhone και iPad που ξεκινούν οι χρήστες μέσω του iTunes και όχι μέσω του iCloud της Apple.
Η εξεύρεση τρόπων για να αποκτήσει κάποιος πρόσβαση σε ένα iPhone και να κλέψει τα δεδομένα του χρήστη είναι σχεδόν αδύνατη χωρίς να γνωρίζει τον κωδικό πρόσβασης του χρήστη, όπως φαίνεται από την προσπάθεια του FBI να επιστρατεύσει τη βοήθεια της Apple για το σπάσιμο του iPhone του δολοφόνου του Σαν Μπερναρντίνο, Σιντ Φαρούκ, νωρίτερα φέτος. Μέχρι το iOS 10, η Apple έκανε το λειτουργικό της σύστημα πιο δύσκολο σε κάθε διαδοχική έκδοση για τους χάκερ.
Σε δήλωσή της σχετικά με το ελάττωμα ασφαλείας, η Elcomsoft δήλωσε ότι ο καλύτερος τρόπος για τους χάκερ για να σπάσουν μια συσκευή iOS είναι από την πρόσβαση στον υπολογιστή στον οποίο αποθηκεύονται τα αντίγραφα ασφαλείας του iPhone ή του iPad, μια μέθοδο που αποκαλεί «λογική απόκτηση». Στη συνέχεια, οι χρήστες μπορούν να χρησιμοποιούν λογισμικό επίθεσης που δοκιμάζει εκατομμύρια συνδυασμών του κωδικού πρόσβασης ανά δευτερόλεπτο.
Στη ρίζα του προβλήματος βρίσκεται η απόφαση της Apple να αλλάξει τον τρόπο που κρυπτογραφεί τα αντίγραφα ασφαλείας που γίνονται μέσω του iTunes. Η Apple χρησιμοποίησε ένα αλγόριθμο προστασίας στο iOS 10 γνωστό ως PBKDF2 αντί του εναλλακτικού γνωστού ως SHA256 που χρησιμοποίησε στο iOS 9. Σύμφωνα με τον Περ Θόρσαϊμ, σύμβουλο ασφάλειας στην εταιρεία ασφαλείας God Praksis, ο PBKDF2 είναι παλαιότερος και επιτρέπει στο λογισμικό σπασίματος κωδικών να επιτεθεί πιο γρήγορα. Και δεδομένου ότι οι ίδιοι 10.000 κωδικοί πρόσβασης χρησιμοποιούνται περίπου στο 30% των λογαριασμών, τα προγράμματα σπασίματος κωδικών όπως το Phone Breaker της Elcomsoft μπορούν να σπάσουν τον κωδικού πρόσβασης ενός χρήστη και να αποκτήσουν πρόσβαση σε δεδομένα στο 80% έως 90% των περιπτώσεων, αν το λογισμικό αφεθεί να λειτουργήσει μόλις για δύο ημέρες και βρεθεί αντιμέτωπο με τον αλγόριθμο κρυπτογράφησης PBKDF2.
Από την πλευρά της, η Apple δήλωσε στο Fortune ότι σχεδιάζει να διορθώσει το πρόβλημα. Η εταιρεία πρόσθεσε ότι οι χρήστες Mac που έχουν αντίγραφα ασφαλείας του iTunes αποθηκευμένα στις συσκευές τους μπορούν να χρησιμοποιήσουν το λογισμικό κρυπτογράφησης FileVault της Apple για να προσθέσουν ακόμα ένα επίπεδο προστασίας.
Πηγή: Fortune.com