智慧型手機的安全問題愈來愈引人擔憂,黑莓機素來引以為傲的資料保護機制,日前傳出遭到破解的消息,俄國廠商ElcomSoft發表一個密碼破解工具(Elcomsoft Phone Password Breaker),宣稱可以破解黑莓機的加密機制,取得其中的備份資料。
黑莓機具有資料即時備份的功能,萬一手機遭竊或遺失,以及資料或硬體設備損毀時,使用者也不必擔心資料就此消失,通常會進行備份的資料包括E-mail帳號及密碼、通話記錄、行事曆、會議行程、通訊錄、及瀏覽過的網站網址等,為確保安全,黑莓機針對自身的PC/Mac平台備份系統及黑莓桌面軟體進行了256-bit AES加密保護。
不過,ElcomSoft聲稱只要透過密碼回復(Password Recovery)方式進行攻擊,就能破解備份資料的加密機制,以7位元密碼排列組合(包含5個小寫字母、2個大寫字母)的長度而言,大約半小時內就能破解密碼,就算是排列組合方式更複雜的密碼,也能在3天內被破解。
ElcomSoft指出,之所以能夠快速破解的原因,在於黑莓機的金鑰導出函數PBKDF2只迭代(iterations)一次,與其他智慧型手機相比,蘋果iPhone在iOS 3.x版本的迭代次數有2,000次,到了iOS 4.x版本則增加至1萬次,兩相比較之下,攻擊黑莓機顯然容易許多。
在智慧型手機市場上,黑莓機一直以安全作為主要訴求,也因此獲得許多商業人士青睞,而ElcomSoft所點出的安全漏洞,只怕會大幅衝擊黑莓機未來的市場發展。