之前我們已經(jīng)看到過用于暴力破解電話密碼的設(shè)備。這個價值500美元的盒子由YouTuber “ EverythingApplePro”的視頻演示,使用iOS 10.3.3和iOS 11 Beta中的漏洞進(jìn)行暴力破解,并一次最多繞開三部iPhone 7 / Plus手機(jī)的鎖屏密碼,但是根據(jù)密碼的復(fù)雜程度,可能需要幾天的時間。通常,由于用戶可選的設(shè)置會告訴您的iPhone或iPad在輸入十次失敗的密碼后清除所有數(shù)據(jù),因此這種攻擊是不切實(shí)際的。
此外,在“鎖定”屏幕上輸入無效密碼后,在A系列主處理器中找到的Secure Enclave密碼協(xié)處理器會強(qiáng)制執(zhí)行逐步升級的時間延遲,以防止此類設(shè)備每秒嘗試許多不同的密碼組合。
但是由于iOS 10.3.3和iOS 11 Beta中以前未知的漏洞,攻擊者可以根據(jù)需要在安裝新的iOS之后顯示的白色“按回家以恢復(fù)”屏幕上使用任意數(shù)量的密碼嘗試。在下面嵌入的視頻中,“ EverythingApplePro”使用簡單的密碼“ 0016”來允許黑客更快地工作。
該黑客利用了iOS的更新過程。
該帖子解釋說:“他們在數(shù)據(jù)恢復(fù)狀態(tài)中發(fā)現(xiàn)了一個漏洞,該漏洞使您可以使用任意數(shù)量的密碼嘗試。”
攻擊者仍需要擁有$ 500的設(shè)備,并將您的手機(jī)實(shí)際占有幾天,然后才能暴露密碼。盡管較舊的設(shè)備/ iOS版本不受影響,但我們完全希望Apple很快會發(fā)布修補(bǔ)程序來修補(bǔ)此漏洞。
此漏洞僅限于最新的iPhone 7和iPhone 7 Plus手機(jī),特定于iOS 10.3.3和最新的iOS 11 beta。保護(hù)自己免受此類暴力攻擊的最佳方法是設(shè)置一個六位數(shù)或字母數(shù)字的密碼,這可能需要數(shù)周甚至數(shù)月的時間才能嘗試出所有可能的密碼組合。
教程: 如何在iPhone上設(shè)置六位數(shù)密碼
本周早些時候,iOS黑客“ xerub”設(shè)法提取了解密密鑰,以保護(hù)運(yùn)行在嵌入在iPhone 5s的A7芯片中的Apple的Secure Enclave密碼協(xié)處理器上的固件,并將其發(fā)布在GitHub上。
密鑰的暴露情況使安全研究人員可以檢查Apple秘密軟件的內(nèi)部工作原理,這些軟件可為Secure Enclave提供給系統(tǒng)的功能提供支持。
蘋果消息人士今天表示,安全存儲在Secure Enclave加密內(nèi)存中的用戶數(shù)據(jù),加密密鑰和其他敏感信息不存在被解密的風(fēng)險。
同樣重要的是,iOS 11包含一個便捷的快捷方式,可讓您快速禁用Touch ID并需要密碼來解鎖設(shè)備。
如果您發(fā)現(xiàn)自己處于危險境地或有被捕的危險,這可能是一項(xiàng)重要功能,因?yàn)樗梢源_保無法用指紋強(qiáng)行解鎖手機(jī)。
對于那些想知道的人,警察可以強(qiáng)迫您使用指紋來解鎖手機(jī),但是從法律上講,他們不能強(qiáng)迫您在使用密碼時這樣做。