iPhone的資料加密措施上嚴重的安全弱點
iPhone 3GS提供了使用256 bit AES加碼程式的硬碟完全加密功能,此舉應能(理論上而言)保護你敏感的資料不受窺伺。這套加密系統 連最基本的駭客或鍵識工具都無法抵禦(does not stand up to ),早已是公開近一年的事實。不過最近的這個瑕疵似乎是會將你的資料洩露給任何有能力可以開機的人,即使設了保全個人辨識密碼(PIN,Personal Identification)也於事無補。
Bernd Marienfeldt發現,在iPhone和Ubuntu系統USB埠連結時開啟受個人辨識碼保護的iPhone,他就能進入到系統中:
「音 樂,相片,影片,podcast,錄音檔,Google谷歌安全瀏覽資料,遊戲內容等等,就我的看法這是到目前發現最快被入侵的一款,攻擊者不會留下任何 可被追蹤的紀錄。」
他是透過Ubuntu介面進入的,甚至完全不需要使用到個人辨識碼;更甚的是,此次進入後所進行的並不 是只有閱讀,而是讀與寫。
連在標 準的Windows Vista上也不需要用到PIN碼
Heise安全公司所做的測試(testing by heise Security)顯示,同樣的方式也會可讓iPhone與在個人電腦上使用的iTune配對。這個已是我可以在同樣使用受個人辨識PIN碼保戶,硬體已 加密的iPhone上重製的現象了。
這個相關的弱點漏洞比之前的還要令人擔憂。如果攻擊者可將iPhone和未經授權的個 人電腦配對,他們就可以將手機中所有的內容備份出來,包括了筆記,訊息,甚至只是單純的文字密碼。
測試指出,這類未經授權的配對與 檔案的取得,只會發生在未經上鎖的狀態下關閉的手機上,如此多少可以有減緩風險的效果。
不過當一個理應是受全面加密防護的
硬碟,卻會在未經憑證確認的狀況下給出【任何】 資料,這裡面一定,肯定出了問題。
Marienfeldt先生報導說,Apple已認
知了此瑕疵但尚未說明何時可修復。
資料來源:
留言列表
