Cloud曝漏洞泄隐私,不碍高安全保障能力
周日晚间,多名明星照片开始在美国网站和Twitter上流传。在美国的讨论版4Chan上,有用户发布了这些照片,并称这些照片是黑客攻击了多个iCloud帐号之后流出的。有裸照的明星包括维多利亚·嘉斯蒂(Victoria Justice)、埃米莉·布朗宁(Emily Browning)、凯特·波茨沃斯(Kate Bosworth)、珍妮·麦卡锡(Jenny McCarthy)和凯特·厄普顿(Kate Upton)。
iCloud
苹果发言人Natalie Kerris表示:“我们非常认真地对待用户隐私,正在积极调查这一报道。”这些泄露的照片部分是真实的,部分是虚假的。FireEye信息安全威胁主管Darian Kindlund指出,这可能是一次直接的暴力攻击。换句话说,如果采取一些额外的信息安全保护措施,那么事故完全可以避免。苹果并未广泛宣传这样的安全措施。他表示:“整体而言,苹果提供这类保护措施的时间较晚,同时也没有进行宣传。你需要查看技术支持文档才能找到相关内容。”
GitHub上的一篇内容也显示,有用户发现了苹果Find My iPhone服务的一个漏洞。通过这一漏洞,黑客可以持续尝试密码,直到找到正确密码。这篇内容于周一进行了更新,其中显示:“乐趣结束。苹果刚刚进行了修复。”
分析:
从以上内容初步可以判断:苹果云服务iCloud普通登录方式的一个安全漏洞,被利用了。这个漏洞针对普通的、没有采用二次认证服务的用户,黑客可以通过持续尝试,找到正确的密码,而这个做法可以通过软件实现。
辩证地看问题:
1、iCloud这样的大型软件确实有漏洞/BUG/后门等,可能被黑河或坏人利用,存在安全隐患,WINDOWS、IOS、Android、微博、微信甚至安全软件的更新版本中也都有很大的比例是发现并弥补漏洞。但这些经过严格开发周期的产品比一些小公司推出的“操作系统”或APP仍然要安全得多。国产的操作系统要想挑战WINDOWS等,首先要解决的问题是,自身软件的成熟度,否则即使不是基于开源平台开发,每一条原代码都是你自己的,仍可能包含大量的可被黑客等利用的漏洞。
2、秘密资料、隐私资料不应该在没有安全保护的情况下放在开放空间。绝密资料不应该在公网上出现,无论是存储还是传播,都应该物理隔离。
3、无论是手机,还是PC,应尽可能搭建一个安全的环境,以提高安全防护能力。
4、即使是不安全的环境,在完善的安全管理机制上,也可能做到很高的安全保护。苹果通过封闭的IOS可提供较高的安全防护,但与之相比,可控的Android、Linux更易于第三方采取进一步的安全防护措施。
5、一出问题就上纲上线,直接否定iCloud,必将面临危害更大的安全隐患。