“很多人都认为,所有东西都存在我的电脑上。但要我说,当你越来越频繁地上传数据到网上和云端时,你对这些数据的掌控力将变得越来越薄弱。”苹果联合创始人斯蒂夫·沃兹尼亚克(Steve Wozniak)两年前直言不讳的说。
两年后,苹果在云安全上的“无所作为”成为了众多女明星的噩梦。上周,包括90后奥斯卡影后詹尼佛·劳伦斯在内的一众好莱坞女明星的私密照片曝光在网上。尽管目前没有确凿证据认定iCloud是此次事件的祸源,但根据首次公布这些私密照片的攻击者,他是通过入侵女明星的iCloud账号才获得这些照片。
和以往采取“社交工程”(social engineering)等方式不同,这次的攻击直戳苹果数据安全的软肋。周一,Github出现了一个python脚本,允许恶意用户暴力破解目标用户的iCloud密码,该脚本利用了Find My iPhone服务上的一个漏洞,黑客能够无限制猜测用户的密码,试到正确的密码为止。在此期间,苹果公司未对次攻击作出任何阻止,用户没有收到任何警告,账号也未被锁定。
暴力破解,通常需要目标用户的iCloud邮箱地址以及一连串可能性高的密码。利用这个弱点,黑客可以不限次数尝试各种账号密码组合,一旦得手后,就能获取所有存储在iCloud上的照片视频等文件。
我们可以看一下iCloud的安全协议,苹果称,iCloud上的数据在服务器上和传输途中都是通过加密的。比如照片,通过AES128 bit加密。
对iCloud用户而言,你的账号和用户名并不存储在应用上,如果第三方应用需要访问iCloud,苹果将通过SSL协议传输账号和密码。这就意味着,如果你的密码足够安全和复杂,当你的数据从手机或PC端上传到服务器上时,很难被其他用户拦截。
尽管对外宣称如此,但苹果在用户账户安全保护上一直是“劣迹斑斑”。早在两年期,《连线》杂志记者Mat Honan就经历了这场噩梦。黑客首先通过亚马逊获得Honan的Apple ID账号,删除了他在iPad,Mac电脑和iPhone上所有的数据,继而又侵入他的Gmail,获取了他的Twitter账号。
在苹果为旗下服务提供双重验证之前,iCloud的安全性极其不堪。你只要打电话给苹果的技术支持,提供用户的邮箱、账单地址、以及和这个账号绑定的信用卡后四位数,就能获取该用户Apple ID的密码。
在密码保护上,亚马逊显然比苹果还“懈怠”。只要获取用户的姓名、邮箱和邮寄地址,就能修改密码,而黑客一旦入侵目标用户的账号,就可以看到该用户信用卡卡号的后四位数。
“对亚马逊而言,信用卡后四位数是如此的无关紧要;但同样是这四个数字,却是验证苹果iCloud账户身份的重要凭证。”Honan在其专栏写道。
Honan事件后,苹果为旗下的iTunes和iCloud配备了双重验证机制,一旦开启该选项,用户在其他设备上登陆这两个账户时必须输入发送到手机上的动态密码,关于你的iCloud和Apple ID被访问的消息也会弹出在所有与之绑定的设备上。
双重验证意味着用户在登陆账号时,除了账号密码这一屏障外,还有一个四位数字的验证码的保护。但俄罗斯安全研究员Vladimir Katalov却撰文指,无论是iCloud还是Find My iPhone服务,都不在苹果双重验证机制的保护范围内。“iCloud的数据可以被任意的远程下载,而用户却可以对此一无所知。”
根据苹果的安全协议,双重验证机制是一个可选项,“启动该选项可以降低其他用户访问你的账号或者不经授权修改你的账户信息的可能性。”但在Katalov看来,苹果对此并不上心,黑客仍有机会绕过双重验证入侵用户的账号。
Katalov说,苹果的双重身份认证并不会阻止任何人在一台新(或不信任)的设备上恢复iOS备份。更重要的是,这个机制并不适用于iCloud备份,只要知道用户的Apple ID和密码,任何人都可以下载和访问存储在iCloud上的信息。这很容易验证:你登陆iCloud账号,就可以看到所有存储在云端的信息,无需提供额外登陆信息。
国内一家云服务公司的创始人对记者说,通常情况下,异常的登陆行为应该被检测出来。他认为,苹果接下来应该对所有软件的接口做漏洞排查;加强对用户登陆行为的监测,对每个登陆IP进行有规律的风控。
他强调说,“苹果在用户信息安全上的经验远远不够。漏洞可能无法避免,但任何提供云服务的公司对用户信息安全的责任重大。”
(责任编辑:DF134)
,我还能继续信任iClou野火烧不尽春风吹又生的意思 d吗?相关:
发改委部署加强中秋国庆市场价格监管工作 国家发展改革委3日称,已于近期发出通知,部署各级价格主管部门加强2014年中秋、国庆期间市场价格监管,维护市场价格秩序,优化价格环境,营造欢乐祥和的节日氛围。 通知要求,各级价格主管部门要围绕两节市场价格监管的重点内容,集中力量开展月饼等节庆食品市场价格检查,重点检查商家是否依法明码标价,是否存在误导性标价,实施价格欺诈的行为;要密切关注节日期间采销量增加较多的粮、油、肉、菜、蛋、奶等生活必需..
中戏新生军训全装脸 奶茶妹妹PK周冬雨谁最纯/图同班的男生合照和女生合照人民网北京9月3日电 (李岩)近日,正值开学季,中戏迎来了一批新生军训。某网友在微博上曝光了2张同班男生和女生的军训照,引来无数网友吐槽。其中有网友评论到“脸一个牌子买来的吗?”“脸盲症彻底恶化。”
EXO、TFboys芒果中秋首同台 两大天团正面交锋人民网北京9月3日电 据了解,今年湖南卫视中秋晚会同时邀请到了EXO和TFboys这两大天团鼎力加盟,而本来节目流程上,TFboys是在开场不久出现,EXO则作为压轴阵容登场,但是EXO却特意和节目组提出要求,将自己的节目调整到第一个录制,似乎有意先声夺人,以开场的强大气势压倒TFboys。EXO作为当红的超人气偶像组合,很长一段时间在中国都拥有着绝对的人气和号召力,但是今年以来爆红的TFboys也毫不示弱,类似韩国演艺公司练习生的..
好莱坞艳照事件或涉101位女星 波及蕾哈娜艾薇儿轰动全球的好莱坞女星裸照风暴一发不可收拾(详见昨日羊城晚报B1版)。奥斯卡影后詹妮弗·劳伦斯承认照片属实后,令这批为数约300张的艳照快速流传。尽管相关社交网站已“用尽方法”封阻发布裸照的用户,但丝毫无法阻止艳照的流传速度。更令人咋舌的是,目前流出为数约十多人的“裸照大军”,被指有可能只是冰山一角,而新一波裸照风暴可能随时来袭,据说总共牵涉101位女星!有网民贴出疑是裸照发布人的电脑文件夹截图,内有裸照明..
伊能静自曝已接受秦昊求婚伊能静微博自曝秦昊已于7月向她正式求婚时光网讯 相恋已一年多的伊能静和秦昊今日曝出好消息。伊能静在微博上宣布秦昊已于今年7月14日在土耳其向她正式求婚,而她也毫不犹豫回答“我愿意”。这场求婚显然经过了秦昊的精心策划。7月,伊能静导演的新片《我是女王》在土耳其取景拍摄(秦昊也是演员之一),他以庆祝杀青为由选择了一家海边餐厅,在楼上铺满了玫瑰蜡烛,手捧花束向伊能静求婚,同时海上还燃起了绚丽的烟花。关于结..
伊能静宣布接受秦昊求婚(组图)中新网9月3日电 今日,伊能静在微博上宣布自己已经接受了男友秦昊的求婚,“7月14日秦先生在土耳其求婚,我的答案是我愿意”。她还晒出求婚现场照,并复述了整个过程。照片中,伊能静与秦昊在焰火的衬托下亲密相拥接吻,气氛浪漫。 伊能静微博全文:土耳其说要吃杀青饭,晚上到餐厅时,觉得安总好大方,因为这家海边的餐厅超贵。坐下来先采访(后来知道是假采访,骗我化妆。)完后说上楼吃饭,走上楼发现满地玫瑰蜡烛,觉得剧组..
《银护》续集不会增加人类角色《银河护卫队2》导演詹姆斯·古恩近日表示影片将不会加入更多人类角色。这也意味着有望登上大银幕的超级英雄“惊奇女士”将不会出现《银河护卫队》中,不过导演表示会增加一些女外星人角色。《银河护卫队》票房超过《美国队长2》,成为今年美国本土最卖座的电影时光网讯 随着首部全球票房持续飘红,《银河护卫队》续集的计划早已提上日程。不过漫威这只“后起之秀”会不会步“师兄”《复仇者联盟》的后尘,组建一支宇宙版的英..
"不惧风暴"首周居亚 "鸣梁"逼近1700万人次孙艺珍主演古装动作大片《海盗》蝉联韩国票房冠军,《不惧风暴》新片上榜微弱劣势居亚。《鸣梁》逼近1700万观影人次排名票房榜第三位。《忍者神龟》《暴力街区》《人类清楚计划2》首周表现平平。古装冒险动作片《海盗》蝉联韩国票房冠军时光网讯 孙艺珍主演古装动作片《海盗》继上周逆袭《鸣梁》后,又于本周击败好莱坞灾难大片《不惧风暴》,在暑期档结束之际蝉联周末票房冠军,总观影人次已突破700万大关。《不惧风暴》以7000..
刘亦菲珠宝大片奢华来袭 红唇抢镜裸肩诱人 由《风尚志》携手中国黄金“珍·如金”品牌共同主办的“非凡美丽,珍你如金”大型新品推介活动将于2014年9月10日在深圳揭开帷幕。届时“珍·如金”品牌代言人刘亦菲女士、时装设计师、名模、近百位社会高端名流将共同欣赏由的“珍·如金”品牌设计的非凡奢华金品。这次新品中,当红明星刘亦菲女士为“珍·如金”设计的两款新品也将首次揭开神秘面纱。 黄金是高贵的象征,当设计师为其注入创意灵感之时,这高贵的气质中顿..
倪妮写真风格百变 一喜一悲两爱情片接连上映 倪妮上半年拍摄多本杂志,风格多样,或性感或清纯展现出极强可塑性。而下半年,她的电影作品也十分多元化,《新娘大作战》及《匆匆那年》一喜一悲两大爱情片将接连上映。