蘋(píng)果雙重驗(yàn)證并不保護(hù)iCloud備份及照片流服務(wù)
在 好萊塢女星艷照事件 發(fā)生后,最常簡(jiǎn)單的強(qiáng)化安全保護(hù)的建議之一是啟用賬號(hào)的雙重驗(yàn)證功能——其中包括蘋(píng)果賬號(hào)。這是很好的建議,但事實(shí)上,即便有啟用該項(xiàng)功能,那些名人也無(wú)法得到保護(hù)。要是蘋(píng)果ID的郵箱地址和密碼都被黑客識(shí)破,那么其它的賬號(hào)也無(wú)法避免被入侵。
蘋(píng)果為其賬號(hào)提供雙重驗(yàn)證已經(jīng)有一段時(shí)間,但該系統(tǒng)存在一處遺漏,黑客正是抓住了這一點(diǎn)。iCloud備份并不受雙重驗(yàn)證保護(hù),只要有蘋(píng)果ID的郵箱地址和密碼,它就能夠下載到新設(shè)備。
當(dāng)然,那仍是一個(gè)很大的“只要”。一般情況下,你的郵箱地址和密碼就幾乎是所有的安全保護(hù)——一旦黑客獲得那些信息,任何情況下你都很可能陷入麻煩。早期跡象和蘋(píng)果的 相關(guān)聲明 顯示,黑客是通過(guò)猜測(cè)安全問(wèn)題、社交工程、網(wǎng)絡(luò)釣魚(yú)或者其它的“針對(duì)性”攻擊來(lái)獲取密碼的——而不是蘋(píng)果本身泄露密碼數(shù)據(jù)。要指出的是,訪問(wèn)iPhone備份文件還可以通過(guò)使用身份驗(yàn)證令牌(iTunes創(chuàng)建的一個(gè)文件)來(lái)獲取,這一過(guò)程完全不需要用到密碼。該令牌可通過(guò)惡意程序或網(wǎng)絡(luò)釣魚(yú)來(lái)獲取。
不過(guò),蘋(píng)果和眾多的安全專家都稱雙重驗(yàn)證可防止簡(jiǎn)單的密碼盜取事件。雙重驗(yàn)證要求你輸入發(fā)送到你的設(shè)備的驗(yàn)證碼來(lái)確認(rèn)是你登陸蘋(píng)果賬號(hào),而不是別人。
然而,蘋(píng)果的雙重驗(yàn)證解決方案實(shí)際上并不完整。它并沒(méi)有覆蓋很多其它的iCloud服務(wù),其中包括備份。
事實(shí)上,雙重驗(yàn)證僅覆蓋iCloud的 三項(xiàng)服務(wù) :
- 登陸蘋(píng)果ID管理賬號(hào)
- 在新設(shè)備上從iTunes、App Store或者iBookstore購(gòu)買東西
- 獲取蘋(píng)果官方的ID相關(guān)支持
不過(guò),在你在新設(shè)備上恢復(fù)iCloud備份的時(shí)候,它并不要求你輸入驗(yàn)證碼。黑客正是利用了這一設(shè)計(jì)“特性”。
有的黑客是利用來(lái)自Elcomsoft的手機(jī)密碼破解軟件 Phone Password Breaker 來(lái)破解賬號(hào)密碼,在登陸目標(biāo)用戶的蘋(píng)果賬號(hào)后,他們會(huì)“恢復(fù)”iCloud備份,將包括照片等內(nèi)容在內(nèi)的數(shù)據(jù)導(dǎo)出文件夾,然后進(jìn)行篩選。
即使黑客不能下載一整個(gè)備份——又或者賬號(hào)上未進(jìn)行備份——他們也仍可以訪問(wèn)用戶的照片流,因?yàn)樵摲?wù)同樣不受雙重驗(yàn)證保護(hù)。
所以,即便艷照被盜取的所有女星都啟用了雙重驗(yàn)證,她們的iCloud備份和照片流仍會(huì)被黑客侵入。
如果你覺(jué)得這是一個(gè)全新的漏洞,蘋(píng)果不知情,那你就錯(cuò)了。事實(shí)上,蘋(píng)果iCloud備份不受雙重驗(yàn)證保護(hù)一事曝光已經(jīng)超過(guò)一年了。
在去年年末的Hack In The Box安全大會(huì)上,現(xiàn)供職于Elcomsoft的安全研究人員弗拉基米爾?卡塔洛夫(Vladimir Katalov)發(fā)表了其對(duì)iCloud協(xié)議的 研究發(fā)現(xiàn) ,內(nèi)容包括iCloud有哪些服務(wù)受雙重驗(yàn)證保護(hù)——其實(shí)他早在去年5月便 發(fā)表文章談到過(guò)這些問(wèn)題 。更不用說(shuō) Ars Technica 、 ZDnet 、 TUAW 等科技媒體的相關(guān)報(bào)道了。
對(duì)于蘋(píng)果來(lái)說(shuō),現(xiàn)在的最佳解決方案是擴(kuò)大其雙重驗(yàn)證功能的覆蓋范圍,使其覆蓋所有的iCloud服務(wù),而不只是覆蓋賬號(hào)重置和新設(shè)備購(gòu)物。要求用戶在新設(shè)備上恢復(fù)備份或者登陸賬號(hào)的時(shí)候輸入驗(yàn)證碼,會(huì)是很好的開(kāi)始。要指出的是, 有傳 蘋(píng)果在擴(kuò)大雙重驗(yàn)證適用范圍,納入其它的iCloud服務(wù),不過(guò)這些尚未實(shí)施。
對(duì)于用戶而言,所有的常見(jiàn)建議仍然適用。比如,為你的ID設(shè)置復(fù)雜的密碼,密碼別告訴別人,可以的話使用私密的郵箱——你也不會(huì)告訴別人的郵箱。任何時(shí)候都不要點(diǎn)擊電郵中的鏈接,可以的話別在社交網(wǎng)絡(luò)上分享自己的個(gè)人信息,給密碼重置問(wèn)題設(shè)置完全錯(cuò)誤或者隨機(jī)的答案。
啟用雙重驗(yàn)證肯定能夠多帶來(lái)一層安全保護(hù)——但如果盜賊能夠獲得你的郵箱地址和密碼,那你的備份現(xiàn)階段也無(wú)法受到保護(hù)。蘋(píng)果在針對(duì)女星賬號(hào)被黑事件的聲明中建議用戶啟用雙重驗(yàn)證來(lái)強(qiáng)化賬號(hào)保護(hù)。
對(duì)于擴(kuò)大雙重驗(yàn)證覆蓋范圍問(wèn)題,蘋(píng)果尚未作出回應(yīng)。(譯:羽騰)
Apple’s Two Factor Authentication Doesn’t Protect iCloud Backups Or Photo Streams