風波不斷，近日有專業的iPhone黑客機構Elcomsoft公開表示，iOS 10存在非常大的安全隱患，全新的iTunes備份文件所采用的密碼認證機制更容易遭到軟件的暴力破解。

Elcomsoft指出，iOS 10在備份時“省略一些必要的安全檢查”，這使得黑客們在使用CPU加速破解iOS 10時能比iOS 9使用更高速的GPU還速度40倍“入侵盜取”，如果更高規格的CPU，他們能比“iOS 9及以前版本快約2500倍的速度”嘗試備份iOS 10密碼”。

在獲得用戶的iTunes備份密碼后，iPhone上的所有數據，甚至包括存儲在Keychain中的所有數據（用戶的秘密及敏感信息）都可以被輕易獲取。截至目前，Elcomsoft使用相應技術已成功獲取80%~90%的用戶密碼，雖然目前只開發出了使用CPU的破解方法，但相較于iOS 9的安全檢查機制，iOS 10的安全性明顯下降。

“我們發現了iOS 10的密碼備份機制中存在一種全新的認證機制，自信研究后發現，它忽略了一些特有的安全檢查”，Elcomsoft負責人Oleg Afonin的話得到了數據安全分析師Per Thorsheim的贊同。他表示，在iOS 9以及更早至iOS 4時期，蘋果使用的是10000次迭代的散列算法PBKDF2，然而在最新的iOS 10中他們卻轉向了1次迭代的SHA256算法，后者讓黑客只需單獨嘗試一個錯誤密碼位，就能完成密碼的破解，大大加快了強力破解密碼的速度。

“這并不是一個好的算法”，Per Thorsheim在接受《福布斯》采訪時指出，蘋果做出如此的錯誤實屬“奇葩”，“在安全方面坐下如此大的一個紕漏”足以讓蘋果“贏得年度最蠢獎項”。

截至目前，蘋果已發表聲明，該公司已經意識到了這一問題并開始修復，并正在修復這一漏洞。“我們知道，iOS 10中所用的最新iTunes備份密碼認證機制容易遭到暴力破解，目前我們正在努力修復這個問題。但這并不會影響到iCloud的備份安全。”蘋果的一位發言人表示，“我們建議用戶為了確保Mac和PC的密碼保護安全，進行只能授權用戶訪問的設置。另外額外的安全保障可以使用FileVault全磁盤進行加密。”

Elcomsoft CEO Vladimir Katalov告訴《福布斯》，手機的備份會包含非常精準的數據資料，從通訊錄、信息、呼叫記錄、媒體文件等，無論是已經保存過的密碼還是郵箱、所有社交平臺認證過的鑰密，統統都包含在備份數據之中。因而，iOS 10的紕漏也將讓用戶的數據安全被暴露在更大的安全隱患之中。