Apple ปรับวิธีการเข้ารหัสข้อมูลสำรอง แฮ็คง่ายกว่าเดิม 2,500 เท่า

คอมพิวเตอร์ทั่วไปก็สามารถโจมตีแบบ Brute Force เพื่อแฮ็คข้อมูลบน iPhone ได้

หลังจากมีกรณีพิพาทกับ FBI ดูเหมือนว่า Apple จะพยายามสรรหาวิธีมาเพื่อทำให้ไม่มีใครสามารถแฮ็ค iPhone แม้แต่ทางบริษัทเอง โดยเฉพาะอย่างยิ่งการจ้าง Frederic Jacobs นักพัฒนามือฉมังจาก Signal หนึ่งในแอพพลิเคชันสำหรับรับส่งข้อความแบบเข้ารหัสที่ปลอดภัยที่สุดในโลก มาร่วมทีม Core Security เพื่อเพิ่มความมั่นคงปลอดภัยให้แก่ iPhone ในอนาคต

fbi_vs_apple_2

อย่างไรก็ตาม การอัปเดตระบบปฏิบัติ iOS 10 ล่าสุดของ Apple กลับเป็นไปในทิศทางตรงกันข้าม Apple ทำการลดระดับความแข็งแกร่งของอัลกอริธึมแฮชจาก “PBKDF2 SHA-1 with 10,000 interations” ไปเป็น “Plain SHA256 with a single iteration” ซึ่งช่วยให้แฮ็คเกอร์สามารถใช้คอมพิวเตอร์ทั่วๆ ไปในการแฮ็ค iPhone ได้ง่ายยิ่งขึ้น

Elcomsoft บริษัทชื่อดังด้าน Forensics สัญชาติรัสเซีย เป็นผู้ค้นพบการเปลี่ยนแปลงดังกล่าว โดยระบุว่า อัลกอริธึมนี้ถูกใช้กับการสำรองข้อมูลบนเครื่องคอมพิวเตอร์ผ่าน iTunes ซึ่งกลไกการยืนยันรหัสผ่านที่ใช้เข้ารหัสใหม่นี้ ข้ามการตรวจสอบด้านความมั่นคงปลอดภัยไปหลายรายการเมื่อเทียบกับกลไกเก่า ส่งผลให้พวกเขาสามารถเดารหัสผ่านได้เร็วกว่าเดิมถึง 2,500 เท่า ถึงแม้ว่าจะใช้คอมพิวเตอร์ Intel Core i5 ทั่วๆ ไปตามท้องตลาด โดยสามารถคาดเดารหัสผ่านเร็วได้ 6,000,000 ครั้งต่อวินาที

ถือว่ายังโชคดีที่กลไกการเข้ารหัสแบบใหม่นี้ถูกใช้บนเครื่องคอมพิวเตอร์ส่วนบุคคล ทำให้แฮ็คเกอร์จำเป็นต้องเข้าถึงข้อมูลสำรองของ iPhone ที่เก็บอยู่บนเครื่องคอมพิวเตอร์ก่อน จึงจะเริ่มโจมตีได้

ที่มา: https://thehackernews.com/2016/09/apple-ios10-encryption.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] ขอเชิญเข้าร่วม Webinar: Beginning with VMware Carbon Black Cloud [20 ก.ค.22]

VMWare, WIT และ VST ECS ขอเชิญเข้าร่วม Webinar: Beginning with VMware Carbon Black Cloud ในวันพุธที่ 20 …

[Video Webinar] คุณพร้อมรับมือกับภัยคุกคามและความเสี่ยงต่างๆ สำหรับการใช้งาน Public Cloud แล้วหรือยัง?

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย SiS Webinar เรื่อง “คุณพร้อมรับมือกับภัยคุกคามและความเสี่ยงต่างๆ สำหรับการใช้งาน Public Cloud แล้วหรือยัง?” พร้อมเรียนรู้การรักษาความมั่นคงปลอดภัยบน Cloud Infrastructure อย่างบูรณาการ ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง …