張珊珊

近日有媒體報(bào)道，一位安全研究人員稱，發(fā)現(xiàn)一種破解iPhone密碼的方式。黑客可通過虛擬鍵盤假裝鍵入大量密碼，從而將iOS設(shè)備解鎖。

此種解鎖方式通過USB數(shù)據(jù)傳輸，發(fā)送所有可能的四位數(shù)PIN密碼組合。該破解方法可繞過蘋果的密碼安全保護(hù)措施，一旦密碼組合配對(duì)，就可以解鎖手機(jī)。

安全研究人員馬修·?；菔玖税l(fā)送連續(xù)的鍵盤輸入流過程，通俗地說，此種方法是讓輸入密碼的速度非常快，從而繞過了蘋果的安全保護(hù)功能。

在?；臏y(cè)試中，手機(jī)處理每個(gè)鍵入密碼的速度大約為 3～5 s。對(duì)四位數(shù)的密碼來說，有10 000種可能的組合，這需要幾天才能全部測(cè)試完每個(gè)組合。多年來，蘋果公司建議iOS系統(tǒng)用戶使用六位數(shù)的安全代碼，即使采用希基的暴力破解方法，也需要數(shù)周時(shí)間才能解開密碼。然而，安全研究人員和黑客們都擁有常見的密碼表，將大多數(shù)人常用的密碼輸入設(shè)備后，則會(huì)大大加快破解速度。

隨后，馬修將這一發(fā)現(xiàn)報(bào)告給了蘋果公司。

蘋果公司表示，他們已經(jīng)針對(duì)通過USB連接的外圍設(shè)備（如鍵盤）加以限制，以修復(fù)它發(fā)現(xiàn)的安全漏洞和缺陷。希基的測(cè)試針對(duì)的是iOS 11.3版本，而當(dāng)前的最新版本為iOS11.4，修正了限制模式的iOS 12則將在今年秋天發(fā)布。

網(wǎng)絡(luò)安全專家李鐵軍表示，此種解鎖方式主要是通過外接裝置來讓蘋果的防御功能失效，從而可以不停嘗試密碼，達(dá)到其解鎖目的。對(duì)于國內(nèi)來說，此漏洞已被不法分子利用，iPhone的盜竊與銷贓已經(jīng)形成了成熟的產(chǎn)業(yè)鏈。通常偷來的iPhone會(huì)先進(jìn)行解鎖?？梢越怄i的iPhone價(jià)格要貴1 000元左右，而無法解鎖的設(shè)備，只能拆機(jī)分開出售零件。

據(jù)李鐵軍講，基本上一般用戶使用的密碼，都在常用密碼庫中。單純依靠密碼認(rèn)證已經(jīng)被認(rèn)為是不安全的。目前的解決辦法就是主流網(wǎng)絡(luò)商提供的雙重驗(yàn)證服務(wù)，即“密碼+另一種認(rèn)證（如短信驗(yàn)證碼、動(dòng)態(tài)密碼）”。

此外，隨著技術(shù)進(jìn)步，指紋驗(yàn)證與人臉認(rèn)證興起。盡管這兩種驗(yàn)證方式方便易用，但安全風(fēng)險(xiǎn)較大。用戶進(jìn)行安全性要求極高的交易支付時(shí)，應(yīng)非常謹(jǐn)慎地使用這些驗(yàn)證方式。