警惕黑客“暴力”破解iPhone密碼

張珊珊

近日有媒體報道，一位安全研究人員稱，發現一種破解iPhone密碼的方式。黑客可通過虛擬鍵盤假裝鍵入大量密碼，從而將iOS設備解鎖。

此種解鎖方式通過USB數據傳輸，發送所有可能的四位數PIN密碼組合。該破解方法可繞過蘋果的密碼安全保護措施，一旦密碼組合配對，就可以解鎖手機。

安全研究人員馬修·希基演示了發送連續的鍵盤輸入流過程，通俗地說，此種方法是讓輸入密碼的速度非常快，從而繞過了蘋果的安全保護功能。

在希基的測試中，手機處理每個鍵入密碼的速度大約為 3～5 s。對四位數的密碼來說，有10 000種可能的組合，這需要幾天才能全部測試完每個組合。多年來，蘋果公司建議iOS系統用戶使用六位數的安全代碼，即使采用希基的暴力破解方法，也需要數周時間才能解開密碼。然而，安全研究人員和黑客們都擁有常見的密碼表，將大多數人常用的密碼輸入設備后，則會大大加快破解速度。

隨后，馬修將這一發現報告給了蘋果公司。

蘋果公司表示，他們已經針對通過USB連接的外圍設備（如鍵盤）加以限制，以修復它發現的安全漏洞和缺陷。希基的測試針對的是iOS 11.3版本，而當前的最新版本為iOS11.4，修正了限制模式的iOS 12則將在今年秋天發布。

網絡安全專家李鐵軍表示，此種解鎖方式主要是通過外接裝置來讓蘋果的防御功能失效，從而可以不停嘗試密碼，達到其解鎖目的。對于國內來說，此漏洞已被不法分子利用，iPhone的盜竊與銷贓已經形成了成熟的產業鏈。通常偷來的iPhone會先進行解鎖。可以解鎖的iPhone價格要貴1 000元左右，而無法解鎖的設備，只能拆機分開出售零件。

據李鐵軍講，基本上一般用戶使用的密碼，都在常用密碼庫中。單純依靠密碼認證已經被認為是不安全的。目前的解決辦法就是主流網絡商提供的雙重驗證服務，即“密碼+另一種認證（如短信驗證碼、動態密碼）”。

此外，隨著技術進步，指紋驗證與人臉認證興起。盡管這兩種驗證方式方便易用，但安全風險較大。用戶進行安全性要求極高的交易支付時，應非常謹慎地使用這些驗證方式。