iCloud艳照门难平息:黑客欲攻击改进后系统

苹果公司并未对其iForgot密码系统进行全面整改,黑客仍可利用这个系统来下载用户存储在iCloud平台上的iPhone照片。苹果公司CEO蒂姆·库克(Tim Cook)此前宣布,苹果作出的改进措施是当有人试图更改账号密码并获取iCloud备份信息,或是有人首次从一台新设备登录账号时向用户发出通知。

      iCloud艳照门难平息:黑客欲攻击改进后系统
  但在今天,仍有一小撮黑客在色情论坛AnonIB上发布破解方法,这个论坛是好莱坞“艳照门”首次曝光之地。这些黑客指出,苹果公司所作出的唯一改变就是扩大了通知系统,使其将iCloud备份信息也涵盖在内。苹果公司声称,在用户账号遭到黑客入侵时会马上发出警告通知,但实际上这个系统无法阻止黑客登录用户账号。

  iCloud黑客的目标对象多为十多岁的年轻女性,而她们不太可能会定期查收电子邮件。因此,苹果公司在有黑客入侵时马上向用户发出通知的作法并不那么有效。很多情况下,在黑客已经利用安全漏洞登录用户账号,并下载加密备份文件以后,遭到入侵的目标用户甚至都还不知道发生了什么事情。

  另外,iCloud黑客还已找到一种方法,能在入侵用户账号时不会触发通知。黑客称,在试图入侵一个iCloud账号以前,可首先破解目标对象的电邮密码;由于多数目标都是不经常查收邮件的少女,因此她们设置的电邮密码并不难猜,例如“password(密码)”本身就经常会被设为密码等。一旦侵入目标用户的电子邮件收件箱,那么黑客就会将来自于苹果公司的电邮标记为垃圾邮件,而这会导致iCloud安全通知也将被分类为垃圾邮件。

  换而言之,对iCloud黑客来说,苹果公司新的安全系统仅意味着目标用户的电子邮件收件箱里多出了一封电邮。AnonIB论坛上的有些发帖者还声称,有时这种通知邮件甚至会出现延迟,而这种延迟足以让黑客迅速“洗劫”用户账号以取得照片。一旦黑客成功侵入账号,即可解密iCloud备份文件并搜索照片。据美国科技博客Business Insider上个月报道称,黑客会通过执法人员使用的昂贵软件来下载和获取iCloud备份文件。

  现在黑客则有了一种新工具,可以用来窃取年轻女性放在网上的照片,那就是有安全研究专家阿列克谢·特罗斯切夫(Alexey Troshichev)开发的开源免费工具iLoot,这个工具以其成功在Find My iPhone软件中发现漏洞而闻名。在“艳照门”事件发生以前,特罗斯切夫所在公司Hack App曾发布了种名为iBrute的工具来利用这个漏洞。

  黑客此前使用的破解软件是在网上出售的,而iLoot则可在社交编程及代码托管网站GitHub上免费获取。在iLoot于9月上线以后,黑客开始使用这个工具来入侵iCloud账号。iLoot使用“命令行界面”,这意味着黑客只需敲入几行代码命令即可操纵这个工具。

  Hack App的Github网站页面称,该工具不应被用于破解版权资料;iLoot的Github网站页面也警告称,用户不得使用该软件入侵账号:“这个工具仅用于教育用途,请在确保符合你所在国家法律的前提下打开。”

From http://tech.sina.com.cn/i/apple/2014-10-02/03199664778.shtml