Meget tyder på, at Apple har taget et skridt tilbage i sikringen af data på iPhones.
Ifølge Hackernews har Apple nemlig bevidst svækket kryptering på iOS 10, som er den seneste opdatering af iPhone-operativsystemet.
Apple har nedjusteret hashing-algoritmen fra PBKDF2 SHA-1 med 10.000 iterationer til almindelig SHA256 med en enkelt iteration, hvilket potentielt giver angribere mulighed for et brute force-angreb fra en standard-pc.
PBKDF2 står for Password-Based Key Derivation Function. Det er en nøgle-strækningsalgoritme (eng. key stretching), der anvender en SHA-1-hash med tusindvis af password-iterationer, hvilket gør det meget vanskeligt at knækket adgangen.
I iOS 4 til og med 9 genererer PBKDF2 den endelige krypteringsnøgle med så mange iterationer, at tiden for autentificeringsprocessen øges dramatisk. Og det begrænser muligheden for at gennemføre et brute force-angreb.
Ændringen er især interessant, fordi Apple kæmpede bravt for at forhindre FBI i at få adgang til data i en iPhone i den omstridte San Bernardino-sag. Data lå på en - krypteret - iPhone, der tilhørte en attentatmand, der sammen med sin kone skød og dræbte 14 mennesker i San Bernardino i Californien, inden parret blev skudt af politiet.
Det Moskva-baserede firma ElcomSoft har opdaget ændringen i iOS 10. Selskabet påpeger, at Apple har forrådt sine brugere ved bevidst at nedgradere den seks år gamle effektive kryptering til SHA256 med kun én iteration.
»Vi opdagede, at en ny adgangskode kontrol er føjet til iOS 10. Vi kiggede på det og fandt ud af, at den nye mekanisme tillader at teste passwords ca. 2.500 gange hurtigere end i den gamle beskyttelse, der anvendes i iOS 9 og ældre,« skriver Oleg Afonin fra Elcomsoft i et blogindlæg.
Et angreb forudsætter stadig, at angriberen har fysisk adgang til den pågældende enhed, bemærker Hacker News.
