开发者用70行代码破解掉苹果OSX的远程锁定安全功能

boxi2014-03-02
在硬件能力早已日新月异的今天,只有4位的PIN码显然是不安全的。


苹果的Mac OS X有一项“Find My Mac”的防盗功能,开启这项功能后用户可以通过自己的iOS鼠标远程锁定Mac机器,只有输入正确的4位PIN后才能对机器解锁。苹果的安全机制是如果1分钟内输入的PIN不正确,系统会再次锁定机器,用户之后等待一段时间之后才能再次输入;如果机器被连续锁定了5次之后,下一次尝试必须等待5分钟。

但是在硬件能力早已日新月异的今天,只有4位的PIN码显然是不安全的。据neowin报道,Github的一位名为Knoy的用户弄出了一个暴力破解程序iCloudHacker,这个用Arduino代码写出来的只有70行左右的程序可以绕过苹果的安全控制并以暴力的方式破解掉PIN码。Knoy称自己已经在2010及2013版的13”MacBooks上测试成功。


启动之后程序首先会用5秒的时间等待WiFi弹窗出来,然后移动鼠标来关闭WiFi。接下来就是遍历各种PIN的可能组合,如果在5次锁定之内暴力破解仍未找出PIN码,程序不会等上5分钟直到可以再次尝试输入,而是模拟鼠标操作直接让机器重新启动然后接着暴力破解。从而保证程序能尽可能快地进行破解。

据Knoy在程序注释中说,其最长的破解时间是60小时。但那是在没有进行优化的情况下的结果,根据Datagenetics对PIN码的研究,一半的PIN码组合只需426次即可破解,再加上很多用户经常会使用一些非常弱智的密码(如“1234”,参见十大最糟糕密码),所以该破解所需的时间也许要短得多。

为了修复 SSL 连接认证的安全漏洞,苹果最近才放出 iOS 7.0.6 和 iOS 6.1.6 更新。如果这个漏洞属实,苹果又得忙了。

+1
0

好文章,需要你的鼓励

参与评论
评论千万条,友善第一条
后参与讨论
提交评论0/1000

下一篇

编者按:Mark Suster 是著名风险投资机构GRP Partners的合伙人,而 Ben Horowitz 则是另一著名风险投资机构 Andreessen Horowitz 的联合创始人。之前,Ben 曾联合创办过 Opsware 并担任公司的 CEO,公司后来被惠普收购。此外,他现在还是很多公司的董事会成员,包括 Capriza、Foursquare、Jawbone、Lytro 和 Okta 等。 本文取自2014 Startup Grind 的直播视频。此次访谈由 Mark Suster 发问,Ben Horowitz 幽默作答,两人一唱一和,深入探讨创业中的热点问题。文章梳理访谈的重要内容。

2014-03-01

36氪APP让一部分人先看到未来
36氪
鲸准
氪空间

推送和解读前沿、有料的科技创投资讯

一级市场金融信息和系统服务提供商

聚焦全球优秀创业者,项目融资率接近97%,领跑行业