Black Hat Asia 2021

Apple ปรับวิธีการเข้ารหัสข้อมูลสำรอง แฮ็คง่ายกว่าเดิม 2,500 เท่า

คอมพิวเตอร์ทั่วไปก็สามารถโจมตีแบบ Brute Force เพื่อแฮ็คข้อมูลบน iPhone ได้

หลังจากมีกรณีพิพาทกับ FBI ดูเหมือนว่า Apple จะพยายามสรรหาวิธีมาเพื่อทำให้ไม่มีใครสามารถแฮ็ค iPhone แม้แต่ทางบริษัทเอง โดยเฉพาะอย่างยิ่งการจ้าง Frederic Jacobs นักพัฒนามือฉมังจาก Signal หนึ่งในแอพพลิเคชันสำหรับรับส่งข้อความแบบเข้ารหัสที่ปลอดภัยที่สุดในโลก มาร่วมทีม Core Security เพื่อเพิ่มความมั่นคงปลอดภัยให้แก่ iPhone ในอนาคต

fbi_vs_apple_2

อย่างไรก็ตาม การอัปเดตระบบปฏิบัติ iOS 10 ล่าสุดของ Apple กลับเป็นไปในทิศทางตรงกันข้าม Apple ทำการลดระดับความแข็งแกร่งของอัลกอริธึมแฮชจาก “PBKDF2 SHA-1 with 10,000 interations” ไปเป็น “Plain SHA256 with a single iteration” ซึ่งช่วยให้แฮ็คเกอร์สามารถใช้คอมพิวเตอร์ทั่วๆ ไปในการแฮ็ค iPhone ได้ง่ายยิ่งขึ้น

Elcomsoft บริษัทชื่อดังด้าน Forensics สัญชาติรัสเซีย เป็นผู้ค้นพบการเปลี่ยนแปลงดังกล่าว โดยระบุว่า อัลกอริธึมนี้ถูกใช้กับการสำรองข้อมูลบนเครื่องคอมพิวเตอร์ผ่าน iTunes ซึ่งกลไกการยืนยันรหัสผ่านที่ใช้เข้ารหัสใหม่นี้ ข้ามการตรวจสอบด้านความมั่นคงปลอดภัยไปหลายรายการเมื่อเทียบกับกลไกเก่า ส่งผลให้พวกเขาสามารถเดารหัสผ่านได้เร็วกว่าเดิมถึง 2,500 เท่า ถึงแม้ว่าจะใช้คอมพิวเตอร์ Intel Core i5 ทั่วๆ ไปตามท้องตลาด โดยสามารถคาดเดารหัสผ่านเร็วได้ 6,000,000 ครั้งต่อวินาที

ถือว่ายังโชคดีที่กลไกการเข้ารหัสแบบใหม่นี้ถูกใช้บนเครื่องคอมพิวเตอร์ส่วนบุคคล ทำให้แฮ็คเกอร์จำเป็นต้องเข้าถึงข้อมูลสำรองของ iPhone ที่เก็บอยู่บนเครื่องคอมพิวเตอร์ก่อน จึงจะเริ่มโจมตีได้

ที่มา: https://thehackernews.com/2016/09/apple-ios10-encryption.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] หัวเว่ยชี้โลกแห่งการเชื่อมต่อกำลังก้าวสู่ยุคใหม่ด้วย IoT เตรียมดัน HarmonyOS รองรับนวัตกรรมการเชื่อมต่อเพื่อชีวิตที่ง่ายขึ้น

ดร. หวัง เฉิงลู่ ประธานกลุ่มวิศวะซอฟต์แวร์กลุ่มธุรกิจเพื่อผู้บริโภค และผู้อำนวยการฝ่ายธุรกิจ AI และความอัจฉริยะของหัวเว่ย (Huawei Consumer BG Software Engineering Dept President and …

[Guest Post] เงินติดล้อ มั่นใจ ออราเคิล อัปเกรดศักยภาพองค์กรด้วยระบบคลาวด์ เสริมประสิทธิภาพด้านเทคโนโลยี เพื่อลูกค้าคนสำคัญ

พร้อมตอกย้ำความมุ่งมั่นพัฒนาด้านดิจิทัล วางแผนทรัพยากรองค์กรผ่าน Oracle Cloud ERP