提起苹果的iCloud艳照门事件,很多人还记忆犹新。这个发生在三年前的事件让苹果和用户蒙上了巨大的阴影。但由于当时使用者存在密码薄弱以及多设备或者网站使用相同帐号和密码的情况,所以帮苹果分摊了很多责任,用户对苹果的指责也随着黑客落网而逐渐降低。
但不得不承认,这次艳照对于iCloud和苹果用户的伤害很大,至今让人心有余悸。
新艳照门再现
不过令人心痛的是,同样的事情还是再次发生了,而且今年这次出现的艳照门不仅涉及了好莱坞女星阿曼达赛佛瑞(Amanda Seyfried)和英国女星艾玛沃特森(Emma Watson),甚至还有奥斯卡影帝西恩潘(Sean Penn)的女儿黛伦潘(Dylan Penn)。
而且这次黑客非常嚣张,甚至声称会继续分享更多女星的私密照,并且预告了奥斯卡影后詹妮弗劳伦斯(Jennifer Lawrence)、卡戴珊的妹妹凯莉詹娜(Kylie Jenner)等人,势头丝毫没有输给当年艳照门的劲头。
问题依然来自iCloud
之前苹果iCloud的安全机制有问题,加上很多人没有注意密码安全,所以出现了大量私密照片的泄露。它利用的是苹果“Find My iPhone”服务的漏洞。
暴力破解是指利用恶意脚本程序反复猜测用户的密码,直到发现正确的哪一个。实际上就是我们常说的“撞库”的方式,虽然原始,但也不失为可行的方法。
但根据被捕黑客的交代,他是使用了虚假网站冒充苹果iCloud网站,才骗到这些密码的,但真相如何令人难以分辨,毕竟事情还没有最终水落石出。
但之后苹果增强了iCloud密码保护功能,苹果启用了第三方专用密码,访问时会额外出现一个强制的密码,即便这个应用本身不支持两步式验证也是如此。
这个两步式验证是必须的,不能跳过的。每个被授权访问iCloud的应用都可以设置不同的密码,但同一时间最多同时记录25个,这些密码可以逐一撤销也可以一次全部撤销。最后,当Apple ID密码发生改变时,所有的专用密码将会被自动撤销,使用时需要重新生成。
但令人惊讶的是这次依然问题来自于iCloud,目前还不知道黑客是通过怎样的方法入侵到私密相册的,但由于苹果的验证机制是强制性的,所以一定是黑客找到了iCould的漏洞,这无疑让苹果的在安全领域上和用户信息方面颜面扫地。
现在手机有iCloud同步的功能,一不注意就会将相册同步到云端,所以黑客正是盯上了iCloud上面的海量信息,所以才一直专注于寻找漏洞。
64位iOS设备也不安全
苹果一项标榜安全,但没有任何系统和设备的安全性是尽善尽美的,此前苹果32位设备是重灾区,但由于苹果已经逐渐放弃老旧手机和硬件,所以也不太容易受到重视,但现在就连64位设备也不安全,包括iPhone 7和iPhone 7 Plus,iOS 10.3.1及以下版本都不安全了。
根据Zimperium zLabs安全研究团队的Adam Donenfeld的说法,他们已经找到了iOS 10.3.1的漏洞并展示了相应的威胁成果。另外,他们团队所提供给苹果的8个AVEVideoEncoder内核漏洞,将会是够让iOS 10.3.2以下的设备进行越狱的关键漏洞。
这些漏洞的出现,结合刚刚出现的新艳照门事件,苹果又一次被至于安全保证能力差。
艳照门事件回顾:
2014年夏天,数百张艳照被发布到网上以后引起了轰动,由于其中很多是好莱坞当红女星和男星,所以引发了一系列讨论和关注。随后,从黑客口中得知,问题来自于苹果的iCloud漏洞,导致黑客下载了大量的照片。
之后一段时间事件持续发酵,照片源源不断的出现在网络上。到了九月份有第二次大批量集中曝光,应该是同一批黑客所谓,只不过是分批泄露出来而已。
直到2016年年初,警方才抓到犯罪嫌疑人,这名叫做Ryan Collins美国人在法庭上认罪,承认自己违反了计算机欺诈与滥用法以及在未经授权的情况下访问了一台受保护的计算机以盗取信息。
但他没有承认使用了“撞库”的方式,而是利用钓鱼邮件骗取了受害人的iCloud和Gmail帐户的密码。他假借苹果公司的名义向这些受害人发送电子邮件,要求她们重设密码。最终该男子正式被判处18个月监禁。
2016年9月份第二名涉及到艳照门事件的黑客Edward Majerczyk也被判入狱,美国芝加哥地方法院于作出裁决,Edward Majerczyk非法入侵受保护的计算机并窃取私人信息罪名成立。
他的作案手段与Collins类似,都是通过发送伪装苹果官方邮件来获取受害者的登陆信息。他所制造的iCloud艳照门牵涉到的帐号超过300个,而且也有相当一部分名人在内。
怎么保护iPhone的隐私安全?
频繁发生事故,显然已经让苹果尤其是iCloud用户的信心降到了极点。但有些时候,我们的生活根本离不开手机,所以如何防范呢?
1、尽量不要在iCloud和共有云存储空间放置过于私密的照片或者机密文件,防备于未然是非常重要的。
2、在App Store中,通讯录和文件备份应用多如牛毛,如果一家备份服务提供商有一定的可能泄露你的资料,那么用了十种备份服务的你,个人资料就有十倍的可能被泄露。所以尽量使用本地备份。
3、如果不是特别必要,最好要关掉诸如"iCloud",毕竟很多用户不需要这个功能,网络上有很多操作教程。
4、如果需要维修,那么最好在维修前将自己的手机内容转移,尤其是私密照片和文件令存在其他地方,一些账户也要推出登录,以免出现问题。
6、设置相应的保护密码或者安全验证机制,不要怕麻烦,一旦信息泄露,可能造成更大的麻烦。
……