Appleの最近のiOS 10アップデートにより、暗号化されたローカルiTunesバックアップのセキュリティが意図せず弱体化しました。ロシアのフォレンジック企業によると、この変更は新しい「代替パスワード検証メカニズム」によるものだとのことです。
AppleInsider:
iOS 10では、CPUアクセラレーションを使用することで、iOS 9のGPUを使ったクラッキングと比較して、バックアップパスワードの総当たり攻撃が40倍高速になると、ElcomsoftはForbesが引用したブログ記事で説明しました。どちらのケースでも同じIntel Core i5 CPUを使用した場合、iOS 10の方が2,500倍高速です。
ElcomsoftのOleg Afonin氏は、この新しいメカニズムは「特定のセキュリティチェックを省略」するため、解読が容易になると述べています。パスワードセキュリティの専門家であるPer Thorsheim氏は、代替メカニズムとしてSHA256アルゴリズムが採用されており、パスワードの試行は1回だけ通過すると指摘しています。iOS 4からiOS 9まではPBKDF2が使用され、パスワードは10,000回実行されます。iOS 10でも旧メカニズムは実際には残っていますが、バックアップをハッキングしようとする悪意のある人物は、より弱いオプションを選択する可能性があります。
AppleはForbesに対し、この問題を認識しており、「今後のセキュリティアップデート」で対処すると語った。iCloudのバックアップは安全だと言われている。
修正が完了するまで、Apple はユーザーに強力なパスワードでコンピューターを保護することを推奨しています。
Appleの広報担当者は、「iOS 10搭載デバイスをMacまたはPCのiTunesにバックアップする際に、バックアップの暗号化強度に影響する問題を認識しています。この問題は、今後のセキュリティアップデートで修正する予定です。iCloudのバックアップには影響しません」と述べています。「MacまたはPCは強力なパスワードで保護し、許可されたユーザーのみがアクセスできるようにすることをお勧めします。FileVaultによるディスク全体の暗号化により、セキュリティをさらに強化することも可能です。」
