英国论坛
9 月 1 日,有境外媒体报道,多位好莱坞女星艳照在社交网络疯传。新闻报道之后,相关照片、视频的传播迅速漫延至国内。9 月 2 日,有报道称,攻击者利用“寻找我的 iPhone”服务存在的一个漏洞,穷举暴力破解 iCloud 登录密码。相关攻击脚本也在互联网被共享传播,苹果随后称已经修补漏洞。
图 1 微博热传的艳照
iCloud 是 iPhone 手机中最为网民熟知的一个服务,当启用 iCloud 服务之后,可以很方便的在多个设备之间共享照片、视频和工作。比如,你在外出旅游时用手机拍照,家人可以通过电脑、iPad 和智能电视来观看照片、播放视频。如果手机丢失,还可以通过 iCloud 找回手机。
但是 iCloud,也会给使用者造成一些麻烦。微博上就见到过这种例子:某人骗老婆说被安排出差,实际去和情人约会。但杯具的是,这人拍下的照片被同步到家里的 iPad 上……类似的云服务,不仅苹果设备在使用,安卓智能手机、智能电视、安卓平板都为用户提供了云服务,比如小米的云服务、百度网盘、金山快盘等等。
云服务可能导致信息泄露问题,原因包括三方面:
1.使用者自己的问题,比如未能妥善管理和使用密码。
密码太简单,或被黑客撞库(大量使用已泄露的数据库去尝试登录 iCloud 帐户、或其他厂商提供的云服务。)
2.服务提供商的问题,比如被黑客入侵,服务器被拖库。或者某个服务接口存在漏洞,给黑客留下可趁之机(苹果这次据说就是“寻找我的 iPhone”接口存在不限次暴力破解的登录漏洞);
3.云服务在传输数据过程中遭遇黑客攻击,导致信息泄露或下载危险程序。
奥斯卡影后信息泄露,大尺度照片视频被网友疯传。这种风险对所有正在使用智能设备(iPhone / iPad,安卓手机、安卓平板、智能电视)的人都存在,每一个智能设备的使用者,都可能面临和奥斯卡影后一样的尴尬。
有人说,自己不是名人,信息泄露无所谓。这是非常错误的观点。如果有人拿你的裸照给你打电话敲诈勒索,你是给钱呢?还是不给呢?
对于使用云服务的网民来讲,如果使用者习惯于在不同的场合使用相同的邮箱帐号和密码登录云服务,帐号被盗的概率相当高。就好比家里所有的锁共用一把钥匙,一旦钥匙丢掉,所有的锁都会被打开。
有网友问,自己没有共用密码,是不是就安全了。由于黑客盗窃、破解密码有很多种方法,比如你的 iCloud 帐号可能关联到另一个重要邮箱,如果这个重要邮箱被盗,iCloud 帐号就可能被破解重置。对于一些从不修改登录密码,密码又特别简单的网民来说,几乎可以肯定,信息泄露一定会发生。只不过,由于不够知名,攻击者懒得对外讲。顶多攻击者欣赏完你的照片视频,顺手扔一个到 1024。
比如下图,如果你得到某人登录 iCloud 帐号密码,只须在你的电脑上安装 iCloud 控制面板,用这个帐号密码登录,他在哪儿,和谁在一起,拍了什么,你全都知道了。
图 2 iCloud 同步设置
对于云服务提供商来说,做好数据安全至关重要,一旦服务器由于黑客入侵导致用户数据泄露,其结果都是灾难性的,这将造成成千上万的用户信息泄露。如果是由于服务提供商的问题导致,企业有面临集团诉讼甚至破产的可能。
第三种可能性是手机传输数据时被劫持破解,比如网民未关闭手机 WiFi 开关,外出时手机可能自动连接黑客设置的 WiFi 钓鱼陷阱,手机同步数据的数据包被黑客截获、破解。或者,被攻击者强行劫持跳转到钓鱼网站。这就要求服务提供商全程加密数据,如果被黑客发现存在技术漏洞,后果也会相当严重。
如何注意保护 iCloud 和其他云服务的安全呢?
云服务给人们生活、工作带来极大的方便,如果完全禁止云服务,就不能更好的享受科技成果。人们需要在安全和方便之间找到平衡,可以注意以下几点:
1.需要高度保密的信息,不使用云服务来同步。
比如在国防、高精尖科研领域,使用云服务,可能带来严重后果。个人觉得这些地方工作的人们,敢不敢使用智能手机都得好好掂量一下。
2.个人用户最好不使用手机、Pad 去拍摄一些不适合公开的照片或视频,一旦泄露,可能导致严重后果,被敲诈勒索,或有性命之忧也说不定。不少人大概不知道,你用手机拍照的同时,手机里的多个云服务 APP,会自动同步数据到服务器。建议用户有必要检查一下自己的手机中与云服务有关的 APP,如果觉得不是很保险,可以关闭自动同步功能,减少自动上传的风险。
3.妥善管理云服务帐号密码,不要和其他服务相同。如果服务商提供了双步验证:使用动态密码或手机验证,强烈建议开通。给攻击者制造一些门槛非常必要,iCloud 仅凭帐户密码就登录的,安全性实在是太弱了。
4.小心使用公共场所勿须密码的 WiFi 服务,可能不小心会掉入 WiFi 钓鱼陷阱。使用免费的公共 WiFi 上网,最好不进行危险操作,比如云服务同步操作、收发邮件、购物或支付操作。
5.觉得自己管不好 iCloud 帐户密码的用户,可以选择关闭云服务,减少信息泄露的可能性。操作步骤:设置 ->iCloud->将照片流或视频流关闭。安卓手机或平板电脑的操作和 iCloud 类似,在手机、平板的帐号同步或安全功能中找到云服务,关闭相应功能即可。
图 3 关闭 iCloud 的操作步骤
最新的消息是,苹果已经修补了“寻找我的 iPhone”服务存在的安全漏洞。但还有没有别的漏洞,这可不好说。国内其他提供云服务的厂商,有没有安全漏洞,在漏洞被公开之前,谁都不知道。
所以,为避免普通人成为艳照门的主角,一个特别有效的建议就是:如果你觉得某些照片或视频,也包括其他文档。如果只能自己看看,被别人看到就会难为情。建议不要上传到网上,一旦上传,天知道结果会怎样。