如果不是好萊塢女影星的私密照片流出,很多使用蘋果公司iPhone的用戶並不會關注手機iCloud功能。9月1日,境外媒體報道,多位好萊塢女星艷照在社交網路瘋傳。9月2日,報道稱攻擊者利用“尋找我的iPhone”服務存在的一個漏洞,窮舉暴力破解iCloud登錄密碼。
隨著多名好萊塢女星私密照浮出水面,人們不禁要問:還能放心使用蘋果産品嗎?駭客又是如何拿到女明星私密照的?
“當啟用iCloud服務之後,在WiFi連接的狀態下,可以在iPhone、iPad和電腦等設備之間共用照片、視頻等數據。如果手機丟失,還能通過iCloud找回手機。”金山反病毒工程師李鐵軍接受科技日報記者電話採訪時説,iCloud使用不當也會引麻煩上身,多位好萊塢女星隱私照曝光就是例證。
作為蘋果雲端的伺服器,iCloud以共用文件包括用戶照片、通訊錄、音樂等和搜尋丟失的設備為服務特色,備份用戶的iOS設備,幫助用戶搜尋丟失的設備,並簡化照片共用。
“尋找我的iPhone”服務,原本是幫助用戶追蹤失蹤iPhone的位置,如果iPhone被竊,用戶可以通過該功能遠端鎖死iPhone,讓其無法使用。大多數線上服務中,用戶多次輸入錯誤密碼後賬戶會自動鎖死,以防遭遇所謂的“暴力破解”攻擊。但蘋果在“尋找我的iPhone”中設定的應用程式介面允許用戶不斷地嘗試密碼,這就給駭客留下破解機會。
“蘋果iCloud存儲服務採用加密處理,即使用戶數據被非法攔截或因服務安全漏洞被獲取,也只是一堆無法解析和理解的密文。”李鐵軍表示,iCloud用戶密碼與用戶數據一樣被加密傳輸與存儲,除非使用極簡單密碼而被輕易猜中,iCloud伺服器被入侵用戶存儲的數據被直接破解的可能性幾乎等於0。
有質疑蘋果的聲音,也有人跳出來為蘋果鳴不平,認為此次事件“並不是蘋果的錯,而是駭客暴力盜取賬號密碼”。
“‘iCloud事件’很大程度上是使用者的問題,比如未能妥善管理和使用密碼,不了解iCloud的意義和作用,也不知道怎麼管理賬號安全。”在李鐵軍看來,國內用戶往往是一個簡單易記的密碼“管住”很多賬號,“如果被駭客撞庫,即大量使用已洩露的數據庫去嘗試登錄iCloud賬戶或其他廠商提供的雲服務,那麼攻擊者成功的概率會更高。”
李鐵軍告訴記者,蘋果這次資訊洩露懷疑與“尋找我的iPhone”介面存在不限次暴力破解登錄的漏洞有關,當駭客入侵或某個服務介面存在漏洞,雲服務在傳輸數據過程中遭遇駭客攻擊時,都會導致資訊洩露或下載危險程式。
關於此次駭客的攻擊手段,蘋果並未給出明確結論。但資訊安全公司FireEye的專家達裏恩·金德倫表示,這可能是一次直接的暴力攻擊,如果蘋果採取一些額外的資訊安全保護措施,事故是完全可以避免。
用戶照片如何上傳至iCloud?蘋果公司客服人員告訴記者,iCloud可以在設備打開、鎖定和連接到電源時通過無線網路,每日自動備份的用戶iOS設備資訊。用戶在初次使用iOS設備時,需要用iTunes的ID登錄到iCloud上,而蘋果並未告知用戶的個人資料會被傳到iCloud的伺服器上。因此,之後的資料上傳也是在用戶不知情的情況下備份到iCloud的伺服器上。
如果要刪除iCloud上的個人資訊,用戶可在iPhone上打開“設置”並在“iCloud”選項中選擇刪除,就可以把iPhone在iCloud上資訊全部刪除。如果用戶有多臺iOS設備,想要完全刪除iCloud的資訊,用戶需要登錄iCloud的網頁並在網頁上關閉。
蘋果公司客服人員表示,近日他們會給每一位用戶發送郵件解釋相關事宜。
也許有人説,奧斯卡影后詹尼佛·勞倫斯面臨的尷尬不會落到自己頭上。事實上,這種風險對所有正在使用智慧設備,例如iPhone/iPad,安卓手機、安卓平板和智慧電視的人都存在。
“每一個智慧設備的使用者,都可能面臨和奧斯卡影后一樣的尷尬”。李鐵軍直言,中國用戶偏愛走到哪都要找免費WiFi,很多釣魚WiFi就會截獲用戶的網路通信數據,WiFi釣魚陷阱還可以欺騙用戶提交賬號密碼,一旦掉入WiFi陷阱,所有的隱私都不再是秘密。對於使用雲服務的網民來講,如果使用者習慣在不同場合使用相同的郵箱賬號和密碼登錄雲服務,賬號被盜的概率相當高。“這就好比家裏所有的鎖共用一把鑰匙,一旦鑰匙丟掉,所有的鎖都會被打開。”
儘管好萊塢女星私密照外泄事件令蘋果安全性飽受質疑,但李鐵軍認為,相對於安卓系統,蘋果iOS系統安全性更高。蘋果的數據存儲有專門的雲服務,不僅是存儲物理位置被加密,系統數據有強保安措施,還有防駭客入侵的軟體。“如果伺服器被入侵,用戶就會很悲催。蘋果正在多個國家引導用戶開通雙步驗證,這樣賬號會更安全,而對中國用戶目前尚未提供該項安全服務。”他提醒公眾,用戶密碼設置儘量複雜些,最好是8位數以上、大小寫字母和各種特殊符合相結合。(科技日報北京9月2日電)
[責任編輯: 林天泉]