נראה כי אפל החלישה ללא כוונה את האבטחה של גיבויים מקומיים ב-iOS 10, כתוצאה מהצעת "מנגנון אימות סיסמה חלופי", לפי חברת זיהוי פלילי רוסית.
עם iOS 10, אפשר להפעיל סיסמת גיבוי בכוח פי 40 מהר יותר באמצעות האצת מעבד בהשוואה לפיצוח המופעל על ידי GPU של iOS 9, Elcomsoftמוּסבָּרבפוסט בבלוגמצוטט על ידי פורבס. החלת אותו מעבד Intel Core i5 בשני המקרים, iOS 10 מהיר פי 2,500 להישבר.
המנגנון החדש "מדלג על בדיקות אבטחה מסוימות", אמר אולג אפונין מ-Elcomsoft. מומחה אבטחת סיסמאות שצוטט על ידיפורבס, Per Thorsheim, ציין כי המנגנון החלופי משתמש באלגוריתם אחר - SHA256 - שניסיון סיסמה עובר דרכו רק פעם אחת. iOS 4 עד iOS 9, לעומת זאת, השתמשו ב-PBKDF2 והריצו דרכו סיסמאות 10,000 פעמים.
המנגנון הישן למעשה עדיין קיים ב-iOS 10, אבל מישהו שמנסה לפרוץ גיבוי יכול לבחור באפשרות החלשה יותר.
מנכ"ל אלקומסופט, ולדימיר קטלוב, הציע שהדרך היחידה שבה אפל יכולה לתקן את המצב היא על ידי עדכון של iOS ו-iTunes. אפל אמרהפורבסהוא מודע לבעיה ומתכנן לטפל בה ב"עדכון אבטחה קרוב". גיבויי iCloud מאובטחים לכאורה.
אלקומסופט היא חברה שנויה במחלוקת, שכן היא מוכרת כלים לכל מי שרוצה לפרוץ למכשירי iOS. ככל הנראה נעשה שימוש בכלים שלה במהלך שערוריית "סלבגייט" ב-2014, שהביאה לכך שתמונות רבות של ידוענים בעירום נגנבו מ-iCloud ופורסמו ברשת.
