一周海外安全事件回顧(8.31-9.6):撲朔迷離的艷照門
責編:admin |2014-09-11 13:34:12本文希望可以讓你感受一下整個“艷照門”事件前前后后的那些有趣的人和事兒。當影星不容易,當女星更不容易,當使用蘋果手機的女星更更不容易。
上周海外安全圈最大的焦點無疑是Jennifer Lawrence和與她一樣深陷果體艷照門的名流們。
眾說紛紜
故事的開始是在上周日(8月31日),4chans(筆者注:米國某知名圖片分享網站)和Reddit(筆者注:米國某社交新聞網站)曝光了蘋果iCloud系統被入侵,包括奧斯卡獎獲得者Jennifer Lawrence在內的,以及Kirsten Dunst, Kate Upton ,Briton Jessica 等多達100余位名流的“艷照”被泄露。
于是,一方面大量影星的“果體”艷照在互聯網上瘋傳,另一方面關于此次“艷照門”事件的起因經過也在各個社交媒體熱烈討論。
一個早期的版本更像是現實版的“諜中諜”。據說某黑客長期收集影星艷照,后來那哥們兒的計算機被另一個黑客拿下,里面的這些“收藏品”自然而然被入侵者納入囊中。更有安全專家對艷照進行了細致的分析,得出部分照片并非來自“艷照門”受害者,而是其男友的結論。原因是通過對Kate Upton艷照的分析發現,其EXIF(可交換圖像文件)信息暴露了拍照者是Upton的男友,因此專家懷疑泄漏照片的可能是Upton的男友,而非本人。
不過,在黑客論壇被黑客津津樂道的卻是早期版本的增強版。世人太小看黑客精神,幼稚地認為憑借蠻力就獲得了這些照片;事實上,黑客獲取照片是一個相當長期的行為。
一個名叫OriginalGuy(在逃)的黑客在論壇吹噓自己有Lawrence的裸照,還說很多人參與了這件事情。之后,開始有人賣照片,更有人說提供從icloud上“拿”照片的業務。在8月底,就已經有人在一個色情網站論壇說自己搞到了一個不錯的地方可以拿到Lawrence的裸照。之后,暗流涌動,有人開始花比特幣換照片。
這也就是著名的比特幣版本——黑客偷照片是為了交易比特幣。在這個版本中,有猜測,黑客盯上icloud不是最近的事情。甚至有知情者稱,黑客嘗試入侵icloud的行為甚至可以追溯到2011年11月,即icloud上線后2個月。
官方否認
上面談到了對艷照門事件的諸多猜測,那么當事人之一的蘋果公司是怎么說的呢?
眾所周知,在本次“艷照門”事件中,蘋果公司始終否認icloud有安全隱患。即便是之后被很多安全專家詬病的未限制登錄次數的安全機制也被蘋果否認。蘋果稱,黑客獲得這些照片,是通過“a practice that has become all too common on the internet”(普遍采用的入侵手段),而包括icloud以及Find my IPhone功能都沒問題。
那么,蘋果所說的 “common practice”到底是什么手段呢?簡單地說,社工。
蘋果認為,黑客之所以可以獲得如此之多的照片,手段大致相同,是長期社工的結果。登錄iCloud系統除了輸入賬號、密碼之外,還有另外的手段可以登入:正確輸入電子郵件地址、生日以及回答三個安全問題中的兩個。
這真是一個“機智”的回答。很明顯,如果可以同時獲得一個陌生人的電子郵件地址、生日以及預設的三個安全問題中兩個的答案,貌似是非常困難的。蘋果恰恰是以此為借口認為其系統沒有問題。蘋果認為問題在于,黑客通過廣泛收集信息通過了上述挑戰。這就是所謂的社工入侵。所謂的社工,換句話說,源于用戶自己隱私信息不經意間的泄漏,就像賬號、密碼自己不小心被人家得到了一樣,由此導致的信息泄漏當然不能埋怨別人。
事實真是這樣嗎?
事情真相?
就在大家為“艷照門”背后原因爭吵得不亦樂乎的時候,有人跳出來提醒,前兩天不是剛有人說iCloud有問題嗎?還提供了滲透工具哩!
事情還真是很巧,就在艷照門曝光的前一天,即8月30日,在俄羅斯圣彼得堡的Defcon大會上,恰巧有來自HackApp公司的兩名安全專家公開提到蘋果系統,包括iPhone和iCloud都有安全隱患。問題在于不對用戶登錄次數做限制,以及過于簡單的Security Code(只有4位)。結論是,這可能導致黑客通過暴力破解入侵系統。 在那次會議上,HackApp還分享了暴力破解工具——iBrute。
這就是迄今最為被大家接受的版本——蘋果iCloud系統由于多項安全防護措施不完善,存在未對用戶登錄嘗試次數進行限制,以及安全碼過短等隱患,導致iCloud系統被“成功”暴力破解。黑客采用窮舉法獲得了影星們的iCloud賬號密碼,登錄系統,獲得了大量艷照。
蘋果對此的解釋是,根據蘋果iCloud的iCloud Keychain硬件防護機制,如果用戶嘗試登錄密碼的次數超過一定數量,iCloud會自動阻止該用戶的登錄,用戶要登錄必須要更換手機。然而,安全人員對iCloud的測試顯示并非蘋果所闡述的那樣,iCloud事實上并沒有登錄次數的限制。
然而,這個不限制登錄次數的問題在周一上午被蘋果神奇地修復了。
有趣的是,另一個受牽連的HackApp公司顯然不滿于將此次艷照門和iBrute工具聯系在一起。他們通過社交媒體明確否認艷照門是iBrute工具所致。
結尾
上面說了一大堆圍繞艷照門事件林林總總的猜測。筆者認為,到底這些名流的照片是如何泄露的,其實一點也不重要。
就算這些名流平時加強個人信息保護,誰能保證存放這些信息的銀行、運營商甚至政府系統就不會被入侵?此外,如果是黑客刻意的社工釣魚,請問有幾個名流可以防得住?
該干嘛干嘛吧。如果連錘子都認為最好的手機還有問題,那么別的手機更難以獨善其身。既然用了蘋果,就要“信”它。你看,某女星的照片被蘋果泄露之后,還不忘感謝蘋果哩!