注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

月光博客

青青子衿, 悠悠我心, 但为君故, 沉吟至今

 
 
 

日志

 
 

iCloud泄密事件苹果推卸责任  

2014-09-04 09:15:00|  分类: 杂谈 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 9月3日凌晨消息,苹果公司对名人iCloud账号被黑事件作出了回应,称未发现iCloud云存储遭大规模侵入迹象,这一事件导致多名好莱坞女星的艳照外泄。

 苹果公司发表声明称:“我们想要为某些名人照片被盗相关调查提供更新。当得知被盗事件后,我们感到十分愤怒,马上派出苹果公司的工程师去查明原因。用户隐私权和安全性对我们来说是至关重要的。在经过40余个小时的调查后,我们发现某些名人账号遭到了针对用户名、密码和安全问题的定向攻击,这在网上已变得非常普遍。我们调查的所有案例都并非由于iCloud或Find My iPhone等苹果公司的系统遭到了入侵。我们正在继续与执法机关合作,以帮助其找到相关犯罪分子。”

 声明还称:“为了为这种攻击提供保护,我们建议所有用户使用强度较高的密码,并激活两步认证程序。我们已在公司网站上说明这两点。”

 在我看来,苹果的这个声明主要是想撇清责任,指出是好莱坞女星自己对于密码保管不当,导致黑客获取了她们的密码而进入其iCloud空间,而iCloud本身并没有遭到系统性攻击,即使有些漏洞,也已经修复。

 这番表态的确有点令人感觉推卸责任的味道,根据早先的报道, Find My iPhone 使用的API允许无限制地尝试iCloud账号密码,这就是一个非常严重和低级的错误,黑客完全可以通过暴力枚举的方式来攻击某个用户的密码,如果其密码设置不够强壮,就有可能会被猜中。显然苹果对其系统安全策略设置不当导致用户账户存在较大风险。

 其次,苹果不能要求所有iPhone使用者都有高超的安全密码管理能力,的确,如果用户懂得分级密码设置,同时设置一个强壮的密码,黑客穷举也很难破解,然而,苹果难道不应该对于一些明显的异常攻击做出一些防御措施吗?至少应该主动屏蔽一些不安全的访问,例如异地登录的时候自动启用两步验证等,易用性好固然是用户的需求,但又是安全性往往比易用性更重要,特别涉及隐私信息的情况下。

 最后,苹果给出的“两步验证”也并不是一个最佳的解决方案,首先苹果目前的“两步验证”易用性还并不太好,至少不如谷歌的“两步验证”好用,其次,iPhone的“两步验证”也有一个悖论,当用户手机被盗后,用户反而会因为丢失手机而无法使用两步验证,导致不能立刻登录iCloud进行锁定手机的操作,从而让手机内信息泄密的风险加大,等用户回到家找到“两步验证”恢复密钥的时候,手机上的隐私信息可能已被窃取,而如果将“两步验证”恢复密钥保存在第三方网盘或邮箱,则该网盘或邮箱一但被黑客攻破,即可通过“两步验证”恢复密钥来重置动态密码,带来另一种风险。

iCloud泄密事件苹果推卸责任 - 月光博客 - 月光博客

  评论这张
 
阅读(209)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017