這幾天 iCloud漏洞導(dǎo)致多位女性艷照 一事鬧得沸沸揚(yáng)揚(yáng)，雖然具體原因還沒確定，但現(xiàn)在最大的可能是有黑客利用了 GitHub上發(fā)布的一個(gè)腳本程序 ，對(duì)用戶帳戶進(jìn)行暴力破解。目前這一漏洞已修復(fù)，蘋果也表示會(huì)作進(jìn)一步調(diào)查。不過經(jīng)過這一事件，我們也對(duì)云服務(wù)安全有了進(jìn)一步了解。

暴力破解

本次事件很可能是利用了蘋果 Find My iPhone服務(wù)的一個(gè)漏洞，發(fā)起攻擊的程序被稱為iBrute，能對(duì)帳戶密碼進(jìn)行暴力破解。暴力破解所使用的方法也很簡(jiǎn)單，就是從分別包含郵件地址和密碼的兩個(gè)文件中提取信息，逐個(gè)嘗試。由于 Find My iPhone存在漏洞，多次密碼錯(cuò)誤也不會(huì)讓帳號(hào)被鎖定，因而可以不斷試錯(cuò)，直到對(duì)了為止。找到密碼后，黑客就能連上 iCloud，獲得手機(jī)備份和圖片等數(shù)據(jù)。

iCloud服務(wù)之前也被攻擊過，不過多數(shù)都是通過社會(huì)工程或公開可用的信息進(jìn)行。2011年一名男子就通過猜測(cè)密碼和用個(gè)人資料恢復(fù)密碼等手段取得了 Christina Aguilera和Scarlett Johansson等女星的隱私數(shù)據(jù)。

服務(wù)商沒責(zé)任

蘋果iOS系統(tǒng)默認(rèn)會(huì)自動(dòng)在iCloud中備份照片， Google+、Flickr等也會(huì)自動(dòng)將照片同步到云上。即使像 SnapChat和Glimpse這樣的閱后即焚應(yīng)用，也不能阻止對(duì)方在收到圖片后截屏，而如果對(duì)方用了 iPhone，照片又會(huì)同步到對(duì)方的云。 云服務(wù)，尤其是公共云服務(wù)，基本就是與網(wǎng)絡(luò)相連，無論是個(gè)人操作失誤還是服務(wù)存在漏洞，都會(huì)導(dǎo)致個(gè)人數(shù)據(jù)泄露。隱私數(shù)據(jù)與可分享數(shù)據(jù)在存儲(chǔ)上也不會(huì)作出區(qū)別。

在用戶數(shù)據(jù)泄露后，根據(jù)一般使用條款，云服務(wù)商也不會(huì)承擔(dān)過多的責(zé)任。安全專家表示有兩種方法可以避免這種艷照門事件，一是別拍這種私密照，因?yàn)榭傆幸惶鞎?huì)流傳出去；二是注意公司與個(gè)人是不對(duì)等的，公司基本都會(huì)免于責(zé)罰。沒有艷照就是防止艷照泄露的最好辦法。

iOS用戶的補(bǔ)救措施

檢查云端，而不只是設(shè)備。刪了手機(jī)上的照片并不意味著也從云端刪除。云服務(wù)可以備份用戶在設(shè)備上的各種內(nèi)容。如果真的有不想讓別人看到的東西，那就要在所有地方把它刪除。或者還可以直接停止云服務(wù)。另外，在iCloud上刪除照片后，最初拍攝照片的那臺(tái)設(shè)備上還會(huì)存在原始照片，如果想完全清除，需要在設(shè)備上進(jìn)行刪除。

使用兩步驗(yàn)證措施， 在登錄前回答兩個(gè)問題。一個(gè)問題是提供正確的密碼，另一個(gè)是通過短信或郵件接收驗(yàn)證碼。即使黑客能破解密碼，這也可以有效阻止入侵，因?yàn)樗麄冸y以獲取認(rèn)證碼。iCloud擁有兩步驗(yàn)證措施，不過需要用戶手動(dòng)開啟。

在服務(wù)和設(shè)備上使用不同密碼。 在所有地方都使用相同密碼會(huì)加大被黑客攻破的概率，但很多懶人都沒有做到這一點(diǎn)。

在這個(gè)手機(jī)越來越智能，使用也越來越頻繁的年代，自拍前還是需要三思而后行。無論用的什么系統(tǒng)，被破解也只是遲早的事。

via AT