經過幾天的內部調查,蘋果發表了一份聲明 駭客入侵一些名人的 iCloud 帳戶,其精緻的照片洩漏給公眾。蘋果表示,這些照片並不是透過駭客iCloud 和「尋找我的iPhone」服務洩露的,因為駭客獲取照片的方式是由這家加州公司的工程師確定的,是針對用戶名、密碼和安全問題進行有針對性的攻擊。不過,他們沒有評論 iCloud 照片是如何獲得的。
根據《連線》報道,密碼是使用政府機構使用的取證軟體破解的。在佈告欄上 匿名IB,其中出現了幾張名人照片,一些會員公開討論代表使用該軟體 ElcomSoft 電話密碼破解器。這允許您輸入獲得的使用者名稱和密碼,以從 iPhone 和 iPad 檢索整個備份檔案。據《連線》雜誌採訪的一位安全專家稱,照片中的元數據與上述軟體的使用情況相符。
駭客只需取得使用者名稱(Apple ID)和密碼,這可能要歸功於前面提到的使用該程式的方法 蠻力 以及「尋找我的 iPhone」漏洞,該漏洞允許攻擊者在沒有嘗試次數限制的情況下猜測密碼。蘋果公司在發現漏洞後很快就修復了漏洞。駭客攻擊的受害者沒有使用需要輸入發送到手機的代碼的兩步驟驗證,這一事實也發揮了很大的作用。應該注意的是,兩步驟驗證不適用於 iCloud 備份和照片串流服務,但是,它們首先會使取得使用者名稱密碼變得更加困難。
然而,即使有兩步驟驗證,iCloud 也沒有得到理想的保護。伺服器的 Michael Rose 發現 工會,當照片串流、Safari 備份和電子郵件同步到新的 Apple 電腦時,不會向使用者發出資料已從新電腦存取的警告。只有知道 Apple ID 和密碼,才能在使用者不知情的情況下下載上述內容。正如你所看到的,即使用戶受到兩步驟驗證的保護,蘋果的雲端服務仍然存在一些漏洞,順便說一句,這在捷克共和國或斯洛伐克等國家仍然不可用。畢竟,這件事之後,蘋果的股價下跌了百分之四。
你不會相信幾個名人的手機上有一個極其簡單的密碼和色情照片可以轉移這麼大公司的股票:)
事實上,用戶失去了他們的數據和相當多的隱私,所以在這種情況下,股價下跌是完全正常的。至少它正在學習關注安全性,而我們用戶至少看起來會沒事;-)。
因此,密碼是使用 iBrute 程式破解的,該程式使用試誤法根據一些字典嘗試所有常用的密碼。弱點在於受害者有字典或弱密碼,而蘋果公司沒有在「尋找我的手機」(現已修復)中阻止這種方法(例如,透過限制每分鐘失敗嘗試的次數)。一旦他們有了密碼,他們就可以做任何他們想做的事。但為了不洩露使用相同 Apple ID 的另一台設備的註冊信息,他們使用 EPPB 程式從 iCloud 下載了 iPhone 的完整備份,並使用該程式從備份中提取了照片。結論 - 一個好的密碼是必須的。
如果這也是有償舉動,我不會感到驚訝。在推出超級新事物的前幾天,盡可能地向蘋果巨頭潑髒水。這也是可能發生的情況之一。今天,為了讓一個人對股票感到興奮,你所要做的就是意識到它有多敏感。但最好的人總是會被甩,這一點不會改變。
事實上,用戶失去了他們的數據和相當多的隱私,所以在這種情況下,股價下跌是完全正常的。至少它正在學習關注安全性,而我們用戶至少看起來會沒事;-)。
當然,蘋果從不支付任何費用。停止不惜一切代價捍衛安理會。已經很尷尬了。他們剛剛分享了
就在今天,我收到了一封來自「checkauth@apple.com」的電子郵件。它看起來和蘋果一模一樣,它說我什至不使用的應用程式已經從我的帳戶下載。當我去更改密碼時,它會將我重新導向到一個看起來像 Apple.com 的頁面,但 URL 位址明顯不同。