警惕黑客“暴力”破解iPhone密碼

張珊珊

近日有媒體報(bào)道，一位安全研究人員稱(chēng)，發(fā)現(xiàn)一種破解iPhone密碼的方式。黑客可通過(guò)虛擬鍵盤(pán)假裝鍵入大量密碼，從而將iOS設(shè)備解鎖。

此種解鎖方式通過(guò)USB數(shù)據(jù)傳輸，發(fā)送所有可能的四位數(shù)PIN密碼組合。該破解方法可繞過(guò)蘋(píng)果的密碼安全保護(hù)措施，一旦密碼組合配對(duì)，就可以解鎖手機(jī)。

安全研究人員馬修·希基演示了發(fā)送連續(xù)的鍵盤(pán)輸入流過(guò)程，通俗地說(shuō)，此種方法是讓輸入密碼的速度非常快，從而繞過(guò)了蘋(píng)果的安全保護(hù)功能。

在希基的測(cè)試中，手機(jī)處理每個(gè)鍵入密碼的速度大約為 3～5 s。對(duì)四位數(shù)的密碼來(lái)說(shuō)，有10 000種可能的組合，這需要幾天才能全部測(cè)試完每個(gè)組合。多年來(lái)，蘋(píng)果公司建議iOS系統(tǒng)用戶(hù)使用六位數(shù)的安全代碼，即使采用希基的暴力破解方法，也需要數(shù)周時(shí)間才能解開(kāi)密碼。然而，安全研究人員和黑客們都擁有常見(jiàn)的密碼表，將大多數(shù)人常用的密碼輸入設(shè)備后，則會(huì)大大加快破解速度。

隨后，馬修將這一發(fā)現(xiàn)報(bào)告給了蘋(píng)果公司。

蘋(píng)果公司表示，他們已經(jīng)針對(duì)通過(guò)USB連接的外圍設(shè)備（如鍵盤(pán)）加以限制，以修復(fù)它發(fā)現(xiàn)的安全漏洞和缺陷。希基的測(cè)試針對(duì)的是iOS 11.3版本，而當(dāng)前的最新版本為iOS11.4，修正了限制模式的iOS 12則將在今年秋天發(fā)布。

網(wǎng)絡(luò)安全專(zhuān)家李鐵軍表示，此種解鎖方式主要是通過(guò)外接裝置來(lái)讓蘋(píng)果的防御功能失效，從而可以不停嘗試密碼，達(dá)到其解鎖目的。對(duì)于國(guó)內(nèi)來(lái)說(shuō)，此漏洞已被不法分子利用，iPhone的盜竊與銷(xiāo)贓已經(jīng)形成了成熟的產(chǎn)業(yè)鏈。通常偷來(lái)的iPhone會(huì)先進(jìn)行解鎖。可以解鎖的iPhone價(jià)格要貴1 000元左右，而無(wú)法解鎖的設(shè)備，只能拆機(jī)分開(kāi)出售零件。

據(jù)李鐵軍講，基本上一般用戶(hù)使用的密碼，都在常用密碼庫(kù)中。單純依靠密碼認(rèn)證已經(jīng)被認(rèn)為是不安全的。目前的解決辦法就是主流網(wǎng)絡(luò)商提供的雙重驗(yàn)證服務(wù)，即“密碼+另一種認(rèn)證（如短信驗(yàn)證碼、動(dòng)態(tài)密碼）”。

此外，隨著技術(shù)進(jìn)步，指紋驗(yàn)證與人臉認(rèn)證興起。盡管這兩種驗(yàn)證方式方便易用，但安全風(fēng)險(xiǎn)較大。用戶(hù)進(jìn)行安全性要求極高的交易支付時(shí)，應(yīng)非常謹(jǐn)慎地使用這些驗(yàn)證方式。