日前,轟動全球的好萊塢艷照風暴正在像病毒一樣蔓延,眾多全球當紅女星艷照在網絡風傳。據外媒報道,此次蘋果手機用戶數據嚴重泄漏事件中,共有101位好萊塢女明星被卷入其中。此次事件后,專家疑蘋果iCloud云端系統漏洞被黑客利用,對此觀點蘋果公司始終否認iCloud有安全隱患。即便是被很多安全專家詬病的未限制登錄次數的安全機制也被蘋果否認。蘋果稱,黑客獲得這些照片,是通過普遍采用的入侵手段(common practice),而包括iCloud以及Find my iPhone功能都沒問題。
蘋果:艷照門與iCloud無關
那么,蘋果所說的“普遍手段”到底是什么樣的手段呢?簡單地說,社工。
蘋果認為,黑客之所以可以獲得如此之多的照片,就是長期社工的結果。登錄iCloud系統除了輸入賬號、密碼之外,還有另外的手段可以登入:正確輸入電子郵件地址、生日以及回答三個安全問題中的兩個。
然而,就在艷照門曝光的前一天,俄羅斯圣彼得堡的Defcon大會上,來自HackApp公司的兩名安全專家公開iPhone和iCloud都有安全隱患。問題在于不對用戶登錄次數做限制,以及過于簡單的Security Code(只有4位)。結論是,這可能導致黑客通過暴力破解入侵系統。
iCloud系統由于多項安全防護措施不完善,存在未對用戶登錄嘗試次數進行限制,以及安全碼過短等隱患,導致iCloud系統被成功破解。黑客采用窮舉法獲得了影星們的iCloud賬號密碼,登錄系統,獲得了大量艷照。
蘋果對此的解釋是,根據蘋果iCloud的iCloud Keychain硬件防護機制,如果用戶嘗試登錄密碼的次數超過一定數量,iCloud會自動阻止該用戶的登錄,用戶要登錄必須要更換手機。然而,安全人員對iCloud的測試顯示并非蘋果所闡述的那樣,iCloud事實上并沒有登錄次數的限制。
在近日的烏云首屆安全峰會上,烏云主站負責人“瘋狗”認為,黑客通過收集網絡上已泄露的用戶名及密碼信息,生成對應的“字典表”,到其他網站嘗試批量登錄,得到一批可以登錄的用戶賬號及密碼。用戶在不同網站使用同一套用戶名和密碼,相當于給自己配了把萬能鑰匙,一旦丟失后果不堪設想。
在明星照片泄漏事故后,各大媒體和業內專家都在紛紛質疑云計算[注]的安全性。很多資深云計算評論家都表示,“我早就告訴過你,云計算存在危險!”并期望這個世界回到內部部署解決方案。同時,有相當一部分人始終持此種觀點:1)云計算從未被標榜為完全安全;2)云計算將會繼續發展壯大。安全并不是賣點,功能和價格才是賣點。
京公網安備 11010502049343號