Wczoraj informowaliśmy was o gorszych zabezpieczeniach kopii zapasowych iOS 10 wykonanych przez iTunes w porównaniu do poprzednich wersji oprogramowania dla urządzeń mobilnych Apple.
Zmiany zaszły tylko w weryfikacji haseł, które chronią kopię zapasową przed ingerencją osób trzecich.
Wygląda na to, że teraz można szybciej znaleźć hasło zabezpieczające kopię danych wykonanych za pomocą iTunes, ponieważ iOS 10 pomija niektóre procedury sprawdzające zabezpieczenia. Ponadto ta sama metoda jest wykorzystywana w poprzednich wersjach iOS, z tym że są lepiej zabezpieczone.
When working on an iOS 10 update for Elcomsoft Phone Breaker, we discovered an alternative password verification mechanism added to iOS 10 backups. We looked into it, and found out that the new mechanism skips certain security checks, allowing us to try passwords approximately 2500 times faster compared to the old mechanism used in iOS 9 and older.
This new vector of attack is specific to password-protected local backups produced by iOS 10 devices. The attack itself is only available for iOS 10 backups. Interestingly, the ?new? password verification method exists in parallel with the ?old? method, which continues to work with the same slow speeds as before.
W praktyce oznacza to, że ktoś może mieć łatwiejszy dostęp do kopii, której nawet nie wykonał. Kopie zapasowe zawierają pęk kluczy (hasła), numery telefonów i wiele innych. Po wprowadzonych zmianach narzędzie Elcomsoft jest w stanie znaleźć 6 milionów potencjalnych haseł służących do odblokowania kopii zapasowej. Mało tego, program ma 80 – 90% szans na trafienie odpowiedniego hasła.
Apple w rozmowie z Forbes zdało sobie sprawę z zaistniałego problemu i pracuje obecnie nad naprawą zabezpieczeń. Poza tym problem nie dotyczy kopii zapasowych wykonanych bezpośrednio na urządzeniach mobilnych z iOS 10, więc o nie się nie martwcie. Dopóki nie pojawi się poprawka, stosujcie mocne hasła na swoich komputerach, jeżeli zamierzacie robić kopie zapasowe przez iTunes.
We?re aware of an issue that affects the encryption strength for backups of devices on iOS 10 when backing up to iTunes on the Mac or PC. We are addressing this issue in an upcoming security update. This does not affect iCloud backups,? an Apple spokesperson said. ?We recommend users ensure their Mac or PC are protected with strong passwords and can only be accessed by authorized users. Additional security is also available with FileVault whole disk encryption.
Na ten moment nie wiemy, kiedy Apple wyda stosowną poprawkę, ale obecne wersje oprogramowania (10.1b1 i 10.0.2) jej nie mają. Wydaje mi się, że prędzej, czy później poprawka się pojawi, trzeba się po prostu uzbroić w cierpliwość i czekać na dalszy rozwój sytuacji.
