在 好萊塢女星艷照事件 發(fā)生后，最常簡(jiǎn)單的強(qiáng)化安全保護(hù)的建議之一是啟用賬號(hào)的雙重驗(yàn)證功能——其中包括蘋(píng)果賬號(hào)。這是很好的建議，但事實(shí)上，即便有啟用該項(xiàng)功能，那些名人也無(wú)法得到保護(hù)。要是蘋(píng)果ID的郵箱地址和密碼都被黑客識(shí)破，那么其它的賬號(hào)也無(wú)法避免被入侵。

蘋(píng)果為其賬號(hào)提供雙重驗(yàn)證已經(jīng)有一段時(shí)間，但該系統(tǒng)存在一處遺漏，黑客正是抓住了這一點(diǎn)。iCloud備份并不受雙重驗(yàn)證保護(hù)，只要有蘋(píng)果ID的郵箱地址和密碼，它就能夠下載到新設(shè)備。

當(dāng)然，那仍是一個(gè)很大的“只要”。一般情況下，你的郵箱地址和密碼就幾乎是所有的安全保護(hù)——一旦黑客獲得那些信息，任何情況下你都很可能陷入麻煩。早期跡象和蘋(píng)果的 相關(guān)聲明 顯示，黑客是通過(guò)猜測(cè)安全問(wèn)題、社交工程、網(wǎng)絡(luò)釣魚(yú)或者其它的“針對(duì)性”攻擊來(lái)獲取密碼的——而不是蘋(píng)果本身泄露密碼數(shù)據(jù)。要指出的是，訪問(wèn)iPhone備份文件還可以通過(guò)使用身份驗(yàn)證令牌（iTunes創(chuàng)建的一個(gè)文件）來(lái)獲取，這一過(guò)程完全不需要用到密碼。該令牌可通過(guò)惡意程序或網(wǎng)絡(luò)釣魚(yú)來(lái)獲取。

不過(guò)，蘋(píng)果和眾多的安全專家都稱雙重驗(yàn)證可防止簡(jiǎn)單的密碼盜取事件。雙重驗(yàn)證要求你輸入發(fā)送到你的設(shè)備的驗(yàn)證碼來(lái)確認(rèn)是你登陸蘋(píng)果賬號(hào)，而不是別人。

然而，蘋(píng)果的雙重驗(yàn)證解決方案實(shí)際上并不完整。它并沒(méi)有覆蓋很多其它的iCloud服務(wù)，其中包括備份。

事實(shí)上，雙重驗(yàn)證僅覆蓋iCloud的 三項(xiàng)服務(wù) ：

• 登陸蘋(píng)果ID管理賬號(hào)
• 在新設(shè)備上從iTunes、App Store或者iBookstore購(gòu)買東西
• 獲取蘋(píng)果官方的ID相關(guān)支持

不過(guò)，在你在新設(shè)備上恢復(fù)iCloud備份的時(shí)候，它并不要求你輸入驗(yàn)證碼。黑客正是利用了這一設(shè)計(jì)“特性”。

有的黑客是利用來(lái)自Elcomsoft的手機(jī)密碼破解軟件 Phone Password Breaker 來(lái)破解賬號(hào)密碼，在登陸目標(biāo)用戶的蘋(píng)果賬號(hào)后，他們會(huì)“恢復(fù)”iCloud備份，將包括照片等內(nèi)容在內(nèi)的數(shù)據(jù)導(dǎo)出文件夾，然后進(jìn)行篩選。

即使黑客不能下載一整個(gè)備份——又或者賬號(hào)上未進(jìn)行備份——他們也仍可以訪問(wèn)用戶的照片流，因?yàn)樵摲?wù)同樣不受雙重驗(yàn)證保護(hù)。

所以，即便艷照被盜取的所有女星都啟用了雙重驗(yàn)證，她們的iCloud備份和照片流仍會(huì)被黑客侵入。

如果你覺(jué)得這是一個(gè)全新的漏洞，蘋(píng)果不知情，那你就錯(cuò)了。事實(shí)上，蘋(píng)果iCloud備份不受雙重驗(yàn)證保護(hù)一事曝光已經(jīng)超過(guò)一年了。

在去年年末的Hack In The Box安全大會(huì)上，現(xiàn)供職于Elcomsoft的安全研究人員弗拉基米爾?卡塔洛夫（Vladimir Katalov）發(fā)表了其對(duì)iCloud協(xié)議的 研究發(fā)現(xiàn) ，內(nèi)容包括iCloud有哪些服務(wù)受雙重驗(yàn)證保護(hù)——其實(shí)他早在去年5月便 發(fā)表文章談到過(guò)這些問(wèn)題 。更不用說(shuō) Ars Technica 、 ZDnet 、 TUAW 等科技媒體的相關(guān)報(bào)道了。

對(duì)于蘋(píng)果來(lái)說(shuō)，現(xiàn)在的最佳解決方案是擴(kuò)大其雙重驗(yàn)證功能的覆蓋范圍，使其覆蓋所有的iCloud服務(wù)，而不只是覆蓋賬號(hào)重置和新設(shè)備購(gòu)物。要求用戶在新設(shè)備上恢復(fù)備份或者登陸賬號(hào)的時(shí)候輸入驗(yàn)證碼，會(huì)是很好的開(kāi)始。要指出的是， 有傳 蘋(píng)果在擴(kuò)大雙重驗(yàn)證適用范圍，納入其它的iCloud服務(wù)，不過(guò)這些尚未實(shí)施。

對(duì)于用戶而言，所有的常見(jiàn)建議仍然適用。比如，為你的ID設(shè)置復(fù)雜的密碼，密碼別告訴別人，可以的話使用私密的郵箱——你也不會(huì)告訴別人的郵箱。任何時(shí)候都不要點(diǎn)擊電郵中的鏈接，可以的話別在社交網(wǎng)絡(luò)上分享自己的個(gè)人信息，給密碼重置問(wèn)題設(shè)置完全錯(cuò)誤或者隨機(jī)的答案。

啟用雙重驗(yàn)證肯定能夠多帶來(lái)一層安全保護(hù)——但如果盜賊能夠獲得你的郵箱地址和密碼，那你的備份現(xiàn)階段也無(wú)法受到保護(hù)。蘋(píng)果在針對(duì)女星賬號(hào)被黑事件的聲明中建議用戶啟用雙重驗(yàn)證來(lái)強(qiáng)化賬號(hào)保護(hù)。

對(duì)于擴(kuò)大雙重驗(yàn)證覆蓋范圍問(wèn)題，蘋(píng)果尚未作出回應(yīng)。（譯：羽騰）

Apple’s Two Factor Authentication Doesn’t Protect iCloud Backups Or Photo Streams