ロジャー・フィンガス
· 1分で読めます
ロシアのフォレンジック企業によると、Appleは「代替のパスワード認証メカニズム」を提供した結果、iOS 10でローカルバックアップのセキュリティを意図せず弱めてしまったようだ。
iOS 10では、CPUアクセラレーションを用いた総当たり攻撃により、iOS 9のGPUを使ったクラッキングと比較して40倍の速度でバックアップパスワードを解読できると、ElcomsoftはForbesが引用したブログ記事で説明している。どちらのケースでも同じIntel Core i5 CPUを使用した場合、iOS 10の方が2,500倍高速となる。
エルコムソフトのオレグ・アフォニン氏は、この新しいメカニズムは「特定のセキュリティチェックを省略する」と述べた。フォーブス誌が引用したパスワードセキュリティ専門家のパー・トーシャイム氏は、この代替メカニズムは異なるアルゴリズム(SHA256)を使用しており、パスワードの試行は1回だけ通過すると説明した。一方、iOS 4からiOS 9まではPBKDF2を使用し、パスワードを1万回通過させる。
実は、古いメカニズムは iOS 10 でもまだ存在していますが、バックアップをハッキングしようとする人は、より弱いオプションを選択する可能性があります。
エルコムソフトのCEO、ウラジミール・カタロフ氏は、Appleがこの状況を解決する唯一の方法はiOSとiTunesの両方をアップデートすることだと示唆した。Appleはフォーブス誌に対し、この問題を認識しており、「今後のセキュリティアップデート」で対処する予定だと述べた。iCloudのバックアップは安全だとされている。
エルコムソフトは、iOSデバイスへの侵入を希望するあらゆる人にツールを販売しているため、物議を醸している企業です。同社のツールは、2014年の「セレブゲート」スキャンダルの際に使用されたとみられています。このスキャンダルでは、多くの有名人のヌード写真がiCloudから盗まれ、オンラインに投稿されました。
