黑客通过虚拟键盘 暴力破解苹果密码

法制晚报·看法新闻（记者 李娜）据《财富》周刊报道，一位安全研究人员近日称，发现一种破解iPhone密码的方式。黑客可通过虚拟键盘假装键入大量密码，从而将iOS设备解锁。

此种解锁方式通过USB数据传输，发送所有可能的四位数PIN密码组合。破解方法可绕

过苹果的密码安全保护措施，一旦密码组合配对，就可以解锁手机。

在周五中午发布的视频中，安全研究人员马修·希基演示发送连续的键盘输入流 ，通俗地说，希基让输入密码的速度非常快，从而绕过了苹果的安全保护功能。随后，马修将这一发现报告给了苹果公司。

据了解，在苹果系统的密码保护功能下，输入错误的密码时有一定的延迟。当用户输入10次错误密码时，系统会自动擦除设备数据。

近日，苹果公司表示，新的iOS系统更新将包含相关限制模式。如果设备距离上次解锁过去已经一个小时，USB访问会被自动切断。由于向iPhone发送不同密码组合进行猜测的时间要远远多于1个小时，这一新功能会大大增加黑客入侵设备并获取数据的难度。

苹果公司还指出，他们已经针对通过USB连接的外围设备（如键盘）加以限制，以修复它发现的安全漏洞和缺陷。希基的测试针对的是iOS 11.3版本，而当前的最新版本为iOS11.4，修正了限制模式的iOS12则将在今年秋天发布。

在希基的测试中，手机处理每个键入密码的速度大约为三到五秒。而对四位数的密码来说，有10000种可能的组合，这需要几天才能全部测试完每个组合。多年来，苹果公司建议iOS系统用户使用六位数的安全代码，即使采用希基的暴力破解方法，也需要数周时间才能解开密码。然而，安全研究人员和黑客们都拥有常见的密码表，将大多数人常用的密码输入设备后，则会大大加快破解速度。

那么此种破解iPhone密码的新方法对国内有何影响呢？

法制晚报·看法新闻记者咨询了网络安全专家李铁军。李铁军表示，此种解锁方式主要是通过外接装置来让苹果的防御功能失效，从而可以不停尝试密码，达到其解锁目的。对于国内来说，如果被不法分子利用，可能会利于专门盗窃iPhone的惯偷。iPhone的盗窃与销赃已经形成了成熟的产业链。通常偷来的iPhone会先进行解锁。可以解锁的iPhone价格要贵1000元左右，而无法解锁的设备，只能拆机分开出售零件。

那么，一般用户如何避免密码泄露呢？

李铁军解释，基本上一般用户使用的密码，都在常用密码库中。单纯依靠密码认证已经被认为是不安全的。目前的解决办法就是主流网络商提供的双重验证服务，即“密码+另一种认证（如短信验证码，动态密码）”。后来扫码验证兴起，成为双重身份验证的简单方法。随着技术进步，指纹验证与人脸认证兴起。尽管这两种验证方式方便易用，但安全风险较大。用户进行安全性要求极高的交易支付时，应非常谨慎地使用这些验证方式。以银行系统的指纹验证为例，必须授权在指定设备上使用。而面部识别认证的安全性要低于指纹认证，因此支付验证在使用此种技术时十分谨慎。

法制晚报·看法新闻原创作品拒绝任何形式删改，看法新闻保留追究法律责任的权利。责任编辑：王程央(EN046)