Elcomsoft đã phát hiện ra lỗ hổng này khi nâng cấp công cụ xâm nhập vào iPhone. Công ty này phát hiện ra rằng các bản backup (bản sao lưu) được lưu sau khi người sử dụng cập nhật lên iOS 10 dùng một “cơ chế xác thực mật khẩu” mới, bỏ qua một vài bước kiểm tra an ninh, theo bài đăng trên blog của công ty.
Cuộc tấn công đã nhằm vào các bản backup được bảo vệ bằng mật khẩu do iOS 10 tạo ra. Nếu một kẻ tấn công có thể lấy được một trong những file backup mà không cần mật khẩu thì phương thức tấn công mới của Elcomsoft sẽ cho phép bẻ khóa các mã khóa “nhanh hơn khoảng 2.500 lần so với cơ chế cũ được sử dụng trong iOS 9 trở về trước”.
Công ty đã có thể xử lý 2.400 mật khẩu/giây với iOS 9 thì nay công cụ này đã có thể xử lý 6 triệu mật khẩu/giây trên iOS 10.
Điểm yếu của các bản backup iTunes xuất hiện trên một đường dẫn yếu trong phần bảo mật của iPhone, tuy nhiên nó chỉ tồn tại trên các máy đã cập nhật lên iOS 10.
Elcomsoft còn cho biết cố gắng đột nhập vào một chiếc điện thoại hoặc iCloud thông qua phần cứng là một việc cực kỳ khó khăn, nhưng truy cập vào một bản backup được sao lưu trên máy tính sẽ giúp truy cập vào một vài tập tin nhất định.
“Yêu cầu iPhone hoặc iPad tạo ra một bản backup offline và phân tích các dữ liệu kết quả là một trong số rất ít những cách để xâm nhập vào các máy chạy iOS 10”, công ty cho hay.
Theo Forbes, Apple đã nhận ra vấn đề này và đang tìm cách khắc phục. Theo một tuyên bố gửi đến Forbes, Apple khẳng định: "Chúng tôi nhận biết vấn đề mà sự an toàn của các bản sao lưu iOS 10 trên máy tính Mac hay PC bị sụt giảm. Chúng tôi sẽ sửa chữa trong bản cập nhật tiếp theo.
Nó sẽ không ảnh hưởng đến các bản sao lưu trên iCloud. Chúng tôi khuyên người dùng nên tự bảo vệ mình bằng cách đặt mật khẩu mạnh cho máy tính, ngoài ra còn có thể dùng tính năng mã hóa ổ cứng với FileVault trên Mac".
Trong lúc này, cách tốt nhất là bạn hãy chờ bản cập nhật iOS mới trước khi sao lưu iPhone.