如果不是好莱坞女影星的私密照片流出,很多使用苹果公司iPhone的用户并不会关注手机iCloud功能。9月1日,境外媒体报道,多位好莱坞女星艳照在社交网络疯传。9月2日,报道称攻击者利用“寻找我的iPhone”服务存在的一个漏洞,穷举暴力破解iCloud登录密码。
随着多名好莱坞女星私密照浮出水面,人们不禁要问:还能放心使用苹果产品吗?黑客又是如何拿到女明星私密照的?
“当启用iCloud服务之后,在WiFi连接的状态下,可以在iPhone、iPad和电脑等设备之间共享照片、视频等数据。如果手机丢失,还能通过iCloud找回手机。”金山反病毒工程师李铁军接受科技日报记者电话采访时说,iCloud使用不当也会引麻烦上身,多位好莱坞女星隐私照曝光就是例证。
作为苹果云端的服务器,iCloud以共享文件包括用户照片、通讯录、音乐等和查找丢失的设备为服务特色,备份用户的iOS设备,帮助用户查找丢失的设备,并简化照片共享。
“寻找我的iPhone”服务,原本是帮助用户追踪失踪iPhone的位置,如果iPhone被窃,用户可以通过该功能远程锁死iPhone,让其无法使用。大多数在线服务中,用户多次输入错误密码后账户会自动锁死,以防遭遇所谓的“暴力破解”攻击。但苹果在“寻找我的iPhone”中设定的应用程序接口允许用户不断地尝试密码,这就给黑客留下破解机会。
“苹果iCloud存储服务采用加密处理,即使用户数据被非法拦截或因服务安全漏洞被获取,也只是一堆无法解析和理解的密文。”李铁军表示,iCloud用户密码与用户数据一样被加密传输与存储,除非使用极简单密码而被轻易猜中,iCloud服务器被入侵用户存储的数据被直接破解的可能性几乎等于0。
有质疑苹果的声音,也有人跳出来为苹果鸣不平,认为此次事件“并不是苹果的错,而是黑客暴力盗取账号密码”。
“‘iCloud事件’很大程度上是使用者的问题,比如未能妥善管理和使用密码,不了解iCloud的意义和作用,也不知道怎么管理账号安全。”在李铁军看来,国内用户往往是一个简单易记的密码“管住”很多账号,“如果被黑客撞库,即大量使用已泄露的数据库去尝试登录iCloud账户或其他厂商提供的云服务,那么攻击者成功的概率会更高。”
李铁军告诉记者,苹果这次信息泄露怀疑与“寻找我的iPhone”接口存在不限次暴力破解登录的漏洞有关,当黑客入侵或某个服务接口存在漏洞,云服务在传输数据过程中遭遇黑客攻击时,都会导致信息泄露或下载危险程序。
关于此次黑客的攻击手段,苹果并未给出明确结论。但信息安全公司FireEye的专家达里恩·金德伦表示,这可能是一次直接的暴力攻击,如果苹果采取一些额外的信息安全保护措施,事故是完全可以避免。
用户照片如何上传至iCloud?苹果公司客服人员告诉记者,iCloud可以在设备打开、锁定和连接到电源时通过无线网络,每日自动备份的用户iOS设备信息。用户在初次使用iOS设备时,需要用iTunes的ID登录到iCloud上,而苹果并未告知用户的个人资料会被传到iCloud的服务器上。因此,之后的资料上传也是在用户不知情的情况下备份到iCloud的服务器上。
如果要删除iCloud上的个人信息,用户可在iPhone上打开“设置”并在“iCloud”选项中选择删除,就可以把iPhone在iCloud上信息全部删除。如果用户有多台iOS设备,想要完全删除iCloud的信息,用户需要登录iCloud的网页并在网页上关闭。
苹果公司客服人员表示,近日他们会给每一位用户发送邮件解释相关事宜。
也许有人说,奥斯卡影后詹尼佛·劳伦斯面临的尴尬不会落到自己头上。事实上,这种风险对所有正在使用智能设备,例如iPhone/iPad,安卓手机、安卓平板和智能电视的人都存在。
“每一个智能设备的使用者,都可能面临和奥斯卡影后一样的尴尬”。李铁军直言,中国用户偏爱走到哪里都要找免费WiFi,很多钓鱼WiFi就会截获用户的网络通信数据,WiFi钓鱼陷阱还可以欺骗用户提交账号密码,一旦掉入WiFi陷阱,所有的隐私都不再是秘密。对于使用云服务的网民来讲,如果使用者习惯在不同场合使用相同的邮箱账号和密码登录云服务,账号被盗的概率相当高。“这就好比家里所有的锁共用一把钥匙,一旦钥匙丢掉,所有的锁都会被打开。”
尽管好莱坞女星私密照外泄事件令苹果安全性饱受质疑,但李铁军认为,相对于安卓系统,苹果iOS系统安全性更高。苹果的数据存储有专门的云服务,不仅是存储物理位置被加密,系统数据有强保安措施,还有防黑客入侵的软件。“如果服务器被入侵,用户就会很悲催。苹果正在多个国家引导用户开通双步验证,这样账号会更安全,而对中国用户目前尚未提供该项安全服务。”他提醒公众,用户密码设置尽量复杂些,最好是8位数以上、大小写字母和各种特殊符合相结合。(科技日报北京9月2日电)