警惕黑客“暴力”破解iPhone密码

张珊珊

近日有媒体报道，一位安全研究人员称，发现一种破解iPhone密码的方式。黑客可通过虚拟键盘假装键入大量密码，从而将iOS设备解锁。

此种解锁方式通过USB数据传输，发送所有可能的四位数PIN密码组合。该破解方法可绕过苹果的密码安全保护措施，一旦密码组合配对，就可以解锁手机。

安全研究人员马修·希基演示了发送连续的键盘输入流过程，通俗地说，此种方法是让输入密码的速度非常快，从而绕过了苹果的安全保护功能。

在希基的测试中，手机处理每个键入密码的速度大约为 3～5 s。对四位数的密码来说，有10 000种可能的组合，这需要几天才能全部测试完每个组合。多年来，苹果公司建议iOS系统用户使用六位数的安全代码，即使采用希基的暴力破解方法，也需要数周时间才能解开密码。然而，安全研究人员和黑客们都拥有常见的密码表，将大多数人常用的密码输入设备后，则会大大加快破解速度。

随后，马修将这一发现报告给了苹果公司。

苹果公司表示，他们已经针对通过USB连接的外围设备（如键盘）加以限制，以修复它发现的安全漏洞和缺陷。希基的测试针对的是iOS 11.3版本，而当前的最新版本为iOS11.4，修正了限制模式的iOS 12則将在今年秋天发布。

网络安全专家李铁军表示，此种解锁方式主要是通过外接装置来让苹果的防御功能失效，从而可以不停尝试密码，达到其解锁目的。对于国内来说，此漏洞已被不法分子利用，iPhone的盗窃与销赃已经形成了成熟的产业链。通常偷来的iPhone会先进行解锁。可以解锁的iPhone价格要贵1 000元左右，而无法解锁的设备，只能拆机分开出售零件。

据李铁军讲，基本上一般用户使用的密码，都在常用密码库中。单纯依靠密码认证已经被认为是不安全的。目前的解决办法就是主流网络商提供的双重验证服务，即“密码+另一种认证（如短信验证码、动态密码）”。

此外，随着技术进步，指纹验证与人脸认证兴起。尽管这两种验证方式方便易用，但安全风险较大。用户进行安全性要求极高的交易支付时，应非常谨慎地使用这些验证方式。