Lamiyi

ZDNet の報道によると、ドイツのエアランゲン大学の研究者らは、OS が生成したパスワードを使って、あらゆる iOS ホットスポットを 50 秒で解読する方法を発見したという。

iPhoneでホットスポットを設定する際、Appleはセキュリティ保護のため、一見ランダムなパスワードを最初に設定します。このパスワードは変更できますが、多くのユーザーは提供されたパスワードをそのまま使用しています。これはおそらく良くない考えかもしれません。

ドイツの大学の3人の研究者は、これらのパスワードが短い辞書単語と一連の乱数の組み合わせで生成されていることを発見しました。彼らは論文「使いやすさ vs. セキュリティ：Apple iOSモバイルホットスポットにおける永遠のトレードオフ（PDF）」の中で、パスワード生成に使用される単語のリストが限られているため、攻撃者はiOSがデフォルトで使用しているパスワードを容易に特定できることを明らかにしています。

「このリストは約52,500件のエントリで構成されており、オープンソースのスクラブルクロスワードゲームから作成されました。この非公式のスクラブル単語リストをオフライン辞書攻撃に利用することで、iOSホットスポットの任意のデフォルトパスワードを100%の確率で解読することができました」と研究者らは記している。

さらに悪いことに、アナリストたちは、その 52,500 のうち、実際に使用されているのはほんの一部であることを発見しました。

「この辞書の1,842種類のエントリのみが考慮されています。したがって、任意のiOSモバイルホットスポット内で使用されるデフォルトのパスワードは、これら1,842種類の単語のいずれかに基づいています。」

研究者たちは、この情報と 4 つの AMD Radeon HD 7970 のクラスターを使用して、OS が生成したパスワードを持つあらゆる iOS ホットスポットを 50 秒以内に解読することができました。

彼らは、「システム生成のパスワードは適度に長く、適度に多くの文字セットを使用する必要がある。したがって、ホットスポットのパスワードは、文字、数字、特殊文字の完全にランダムなシーケンスで構成する必要がある」と指摘しています。

続きを読む [Adam経由]