中青在线版权与免责声明

中国青年报手机版

中国青年报手机版二维码

中国青年报-中青在线官方微信

中国青年报-中青在线官方微信平台

2014年09月10日 星期三
中青在线

好莱坞百位女星艳照外泄

我们还能信任iCloud吗?

本报特约撰稿 森堡 《 青年参考 》( 2014年09月10日   42 版)

    图片来源CFP

    近日,美国好莱坞百位女星不雅照外泄,引发了人们对苹果云服务iCloud安全性的担忧。尽管没有确凿证据表明,此次事件就是iCloud漏洞造成的,但已初步确定,黑客是通过入侵女星的iCloud账号获得照片的。

    与此同时,有人在网上上传了一个能暴力破解iCloud密码的程序脚本。该程序利用苹果提供的“寻找我的iPhone”服务上的漏洞,无限次地猜测用户密码,直到猜对为止。用户受到攻击时不会收到任何警告,苹果也无法侦测到异常从而锁定账号。

    以上种种,令人不禁要问,iCloud的安全性到底如何?我们还能信任它吗?

    安全度高,但仍有漏洞

    要找到答案,首先要从iCloud的安全协议说起。苹果表示,iCloud的数据在服务器上和传输过程中都是经过加密的。

    苹果使用的是至少128位的AES加密算法,且须“安全令牌”验证,这一串让普通人听得云里雾里的高大上安全措施,令其安全级别堪比大型金融机构。一般而言,只要你的密码足够复杂,数据在传输过程中就很难被截。正是基于这一点,苹果才回应称“是由于女星的密码过于简单,才遭黑客入侵,致照片外泄”。

    但如果说,苹果在保护用户隐私上一直做得滴水不漏显然是假话,两年前的霍兰事件就是一个例证。2012年,有黑客通过购物网站亚马逊,间接获取了美国《连线》杂志记者马特·霍兰的苹果账户密码,并黑入账户删除了他在iPad、Mac电脑和iPhone上的所有数据。黑客能成功做到这些,与苹果和亚马逊两大巨头在用户隐私上的漫不经心有关。

    在霍兰事件之前,iCloud的安全性非常不堪。任何人只要打电话给苹果的客服,提供注册邮箱、账单地址以及账号绑定信用卡的后四位数字,就能获得用户的苹果账户密码。

    黑客在获知用户的邮箱、账单地址后,如果没有信用卡后四位数也是白搭。但同样“大条”的亚马逊帮了黑客的忙。他们一旦黑进用户的亚马逊账号,就可直接看到信用卡后四位数了。于是,霍兰的所有数据被删就不足为奇了。

    霍兰事件令民众大惊失色,苹果也不得不采取行动。此后,苹果为iCloud提供了双重验证机制。如开启该选项,用户在其他设备上登录iCloud,必须输入发送到绑定手机上的动态密码,iCloud被访问的信息也会在与之绑定的设备上弹出。有了双重验证,事情看上去就完美了,但也只是“看上去”而已。

    俄罗斯安全研究员弗拉基米尔·卡塔罗夫撰文指出,苹果的iCloud双重验证也有漏洞——通过备份的方式访问iCloud中的内容,只需获知用户的账户和密码,不需要经过双重验证。高明的黑客可借此直接入侵用户账号。

    普通人要多加小心

    且不管如今苹果如何修复iCloud漏洞、美国联邦调查局如何揪出罪魁祸首,女星艳照门事件都给我们敲响了警钟——与其亡羊补牢,不如防患于未然。

    作为普通用户,我们该如何防范,才能防止下一秒在网上火起来的是自己呢?

    网络安全专家约瑟夫·斯坦伯格在美国《福布斯》杂志网站上撰文指出,普通人应注意以下几点:

    1、如果你拍了裸照,最好别上传到云端,也别放在网上。黑客从云端窃取文件的成功率要比从你家电脑上高得多。当然,最安全的办法是根本不拍此类照片。

    2、如果在云端存储敏感资料,请务必对其加密,并且最好不使用同一家服务商提供的加密工具。因为黑客入侵一家网络服务提供商的同时,可能会一并获取其加密算法。

    3、妥善保护你的账号,一定不要对所有账号设置同样的密码,密码要设置得足够复杂。

 

我们还能信任iCloud吗?
香港:飞机起降时,允许乘客用手机
萌宠语音邮箱
多设备共用蓝牙键盘