بعد معركة تشفير اي فون بين أبل ومكتب التحقيقات الفيدرالي، واستلهم أبل للعمل من أجل إجراء اي فون المستقبلية unhackable من خلال تنفيذ تدابير أمنية أقوى من أن الشركة لا يمكن أن تخترق.
حتى في هذه النقطة الشركة استأجرت واحدة من المطورين الرئيسيين من الإشارة - واحدة من الأكثر أمانا، وتطبيقات الرسائل المشفرة في العالم - فريق الأمن الأساسية لتحقيق هذا الهدف.
ولكن يبدو أن أبل اتخذت شيء من خطوة إلى الوراء.
حتى في هذه النقطة الشركة استأجرت واحدة من المطورين الرئيسيين من الإشارة - واحدة من الأكثر أمانا، وتطبيقات الرسائل المشفرة في العالم - فريق الأمن الأساسية لتحقيق هذا الهدف.
ولكن يبدو أن أبل اتخذت شيء من خطوة إلى الوراء.
أبل ضعف عمدا تشفير النسخ الاحتياطي لIOS 10
مع آخر تحديث نظام التشغيل اي فون، يبدو أن الشركة قد حققت خطأ كبير أن يؤثر تأثيرا مباشرا على أمن مستخدميها والخصوصية.
خفضت شركة آبل خوارزمية التجزئة لIOS10 من "PBKDF2 SHA-1 مع 10،000 التكرار" إلى "SHA256 عادي مع التكرار واحد"، على الأرجح مما يسمح للقراصنة على القوة الغاشمة كلمة المرور عن طريق معالج الكمبيوتر المكتبية القياسية.
PBKDF2 لتقف على القائم كلمة اشتقاق مفتاح وظيفة، هو خوارزمية تمتد الرئيسية والذي يستخدم تجزئة SHA-1 مع الآلاف من تكرار كلمة السر، مما يجعل كلمة السر تكسير صعبة للغاية.
في دائرة الرقابة الداخلية 9 و الإصدارات السابقة العودة إلى دائرة الرقابة الداخلية 4، وظيفة PBKDF2 يولد مفتاح التشفير النهائي باستخدام وظيفة المزيف (PRF) 10،000 مرات (تكرار كلمة السر)، مما يزيد بشكل كبير وقت عملية المصادقة ويجعل القاموس أو القوة الغاشمة الهجمات أقل فعالية.
الآن Bruteforce 2500 مرات أسرع من الإصدارات السابقة IOS
وأشار شركة روسية مقرها موسكو إلكم سوفت، الذي اكتشف هذا الضعف الذي يتركز حول محمية بكلمة مرور النسخ الاحتياطي اي تيونز المحلية، إلى أن أبل قد خانوا مستخدميها عن طريق خفض مستوى عمدا تشفير اعتبارا من 6 سنوات من العمر لSHA256 مع التكرار واحد فقط.
ولذلك، فإن القراصنة يتطلب سوى محاولة كلمة مرور واحدة مرة واحدة والقوة الغاشمة العثور على تطابق والكراك تسجيل الدخول حساب، مما يجعل العملية برمتها إلى حد كبير أقل استهلاكا للوقت.
ليست هناك تعليقات:
إرسال تعليق