اخیرا خبرهایی مبنی بر اینکه رمز نگاری بک آپ های محلی که در آیتونز انجام می شده در سیستم عامل IOS 10 آنگونه که باید امن باشد نیست. بر اساس تحقیقات موسسه ی نرم افزاری Elcomsoft واقع در مسکو ، IOS 10 از یک الگوریتم محافظتی قدیمی برای حفاظت از رمزهای عبور استفاده می کند. این شرکت نرم افزاری در مسکو وقتی کشف کرد که اپل از یک سیستم تایید پسورد متفاوت برای IOS 10 استفاده کرده است که بررسی های امنیتی اصلی را انجام نمی دهد، بر روی یک بروزرسانی نرم افزاری IOS 10 برای برنامه ی شکستن قفل پسورد خود کار می کند. این به هکرها اجازه می دهد تا پسوردها را با سرعت ۲۵۰۰ برابر بیشتر از سیستم قدیمی به کار رفته در IOS 9 امتحان کنند. این حملات نوع Brute Force بیشتر مناسب IOS 10 است.
پسوردهای کاربران و برخی از داده ها مثل داده های نرم افزار سلامت اینجا در خطر است. اپل از این وضعیت آگاه است و در حال برنامه ریزی برای انتشار یک بروزرسانی است که امنیت نسخه های پشتیبان را در IOS 10 بالا می برد.
نرم افزار قفل شکن Elcomsoft می تواند در هر ثانیه ۶ میلیون پسورد را بر روی IOS 10 امتحان کند. این در حالی است که در سیستم پیشین که بر روی IOS 9 وجود داشت این نرم افزار در هر ثانیه می توانست تنها ۲۴۰۰ پسورد را امتحان کند. به این نکته توجه داشته باشید که هیچ کدام از این بک آپ ها که به آن ها حمله می شود بر روی iCloud تولید نشده اند.
الگوریتم حفاظت از پسورد PBKDF2 که در IOS 10 استفاده می شود همانگونه که در ابتدای این مقاله هم گفتیم، یک الگوریتم قدیمی است. الگوریتم به کار رفته در IOS 9 الگوریتم SHA256 نامیده می شود. به گفته ی Elcomsoft ، ۱۰۰۰۰ از پسورد های تکراری بر روی ۳۰ درصد حساب های کاربری قرار دارد. این به نرم افزار این شرکت اجازه می دهد تا با استفاده از یک حمله ی از نوع Brute Force رمز عبور بک آپ های کاربران را در ۸۰ تا ۹۰ درصد از تلاش ها با موفقیت بدست آورد. این یک درصد بالایی برای یک نرم افزاری که تنها ۲ روز است که بر علیه الگوریتم PBKDF2 کار می کند به حساب می آید.
اپل به ان دسته از کاربرانی که بک آپ هایی از اطلاعات خود بر روی کامپیوتر مک خود دارند پیشنهاد می دهد که برای اضافه کردن یک لایه ی رمزنگاری دیگر از نرم افزار FileVault disk-encryption اپل استفاده کنند.
“ما از مشکلات امنیتی به وجود آمده برای بک آپ هایی که از طریق آیتونز بر روی مک و یا کامپیوترهای دیگر گرفته می شود آگاه هستیم. ما برای رفع این مشکل در چند روز آینده یک بروزسانی نرم افزاری منتشر می کنیم. این مسئله بر روی بک آپ های بر روی iCloud تاثیری نمی گذارد. ما به کاربران پیشنهاد می دهیم که برای حفاظت از بک آپ های خود از یک رمز قدرتمند که تنها قابلیت تایید از طرف خود شما را دارد استفاده کنید. همچنین برای امنیت بیشتر می توانید از نرم افزار FileVault disk-encryption استفاده کنید. ” سخنگوی اپل
منبع : phoneArena