張珊珊

近日有媒體報道，一位安全研究人員稱，發(fā)現(xiàn)一種破解iPhone密碼的方式。黑客可通過虛擬鍵盤假裝鍵入大量密碼，從而將iOS設備解鎖。

此種解鎖方式通過USB數(shù)據(jù)傳輸，發(fā)送所有可能的四位數(shù)PIN密碼組合。該破解方法可繞過蘋果的密碼安全保護措施，一旦密碼組合配對，就可以解鎖手機。

安全研究人員馬修·希基演示了發(fā)送連續(xù)的鍵盤輸入流過程，通俗地說，此種方法是讓輸入密碼的速度非常快，從而繞過了蘋果的安全保護功能。

在?；臏y試中，手機處理每個鍵入密碼的速度大約為 3～5 s。對四位數(shù)的密碼來說，有10 000種可能的組合，這需要幾天才能全部測試完每個組合。多年來，蘋果公司建議iOS系統(tǒng)用戶使用六位數(shù)的安全代碼，即使采用?；谋┝ζ平夥椒?，也需要數(shù)周時間才能解開密碼。然而，安全研究人員和黑客們都擁有常見的密碼表，將大多數(shù)人常用的密碼輸入設備后，則會大大加快破解速度。

隨后，馬修將這一發(fā)現(xiàn)報告給了蘋果公司。

蘋果公司表示，他們已經(jīng)針對通過USB連接的外圍設備（如鍵盤）加以限制，以修復它發(fā)現(xiàn)的安全漏洞和缺陷。?；臏y試針對的是iOS 11.3版本，而當前的最新版本為iOS11.4，修正了限制模式的iOS 12則將在今年秋天發(fā)布。

網(wǎng)絡安全專家李鐵軍表示，此種解鎖方式主要是通過外接裝置來讓蘋果的防御功能失效，從而可以不停嘗試密碼，達到其解鎖目的。對于國內來說，此漏洞已被不法分子利用，iPhone的盜竊與銷贓已經(jīng)形成了成熟的產(chǎn)業(yè)鏈。通常偷來的iPhone會先進行解鎖?？梢越怄i的iPhone價格要貴1 000元左右，而無法解鎖的設備，只能拆機分開出售零件。

據(jù)李鐵軍講，基本上一般用戶使用的密碼，都在常用密碼庫中。單純依靠密碼認證已經(jīng)被認為是不安全的。目前的解決辦法就是主流網(wǎng)絡商提供的雙重驗證服務，即“密碼+另一種認證（如短信驗證碼、動態(tài)密碼）”。

此外，隨著技術進步，指紋驗證與人臉認證興起。盡管這兩種驗證方式方便易用，但安全風險較大。用戶進行安全性要求極高的交易支付時，應非常謹慎地使用這些驗證方式。