Setelah sebelumnya Apple dan FBI saling tegang, Apple terinspirasi untuk membuat iPhone unhackable dengan menerapkan langkah-langkah keamanan yang lebih kuat agar terhindar dari hack. Bahkan Apple kabarnya menyewa pengembang dari Signal - salah satu aplikasi messenger paling aman, yang dilengkapi dengan pesan terenkripsi paling aman di dunia.


Namun pada kenyaannya Apple justru telah menurunkan algoritma hashing untuk iOS 10 dari "PBKDF2 SHA-1 dengan 10.000 iterasi" menjadi "SHA256 dengan iterasi tunggal," hal ini berpotensi memungkinkan penyerang untuk melakukan brute force password melalui komputer desktop standar.

PBKDF2 atau Password-Based Key Derivation Function adalah stretching algorithm key yang menggunakan hash SHA-1 dengan ribuan iterasi password. Pada iOS 9 dan versi sebelumnya iOS 4, fungsi PBKDF2 menghasilkan crypto key menggunakan fungsi pseudorandom (PRF) 10.000 kali (password iterasi), yang secara dramatis meningkatkan waktu proses otentikasi dan membuat serangan brute-force kurang efektif.

Perusahaan berbasis di Moskow - Rusia, ElcomSoft menemukan kelemahan local password-protected iTunes backups, menunjukkan bahwa Apple telah sengaja merendahkan enkripsi yang berusia 6 tahun yaitu SHA256 dengan satu iterasi. Oleh karena itu, seorang hacker hanya membutuhkan satu kali percobaan menemukan kecocokan dan memecahkan login account membuat seluruh proses memakan waktu lebih singkat.

"Kami menemukan mekanisme verifikasi password alternatif di iOS 10 backup. Kami melihat dan menemukan bahwa mekanisme baru pemeriksaan keamanan tertentu, memungkinkan kita untuk mencoba password sekitar 2500 kali lebih cepat dibandingkan dengan mekanisme lama yang digunakan di iOS 9 dan lebih tua" Oleg Afonin dari Elcomsoft dalam sebuah pernyataan.
 
Top