iCloud泄密事件蘋果在推卸責任
責編:admin |2014-09-04 14:59:409月3日凌晨消息,蘋果公司對名人iCloud賬號被黑事件作出了回應,稱未發現iCloud云存儲遭大規模侵入跡象,這一事件導致多名好萊塢女星的艷照外泄。
蘋果公司發表聲明稱:“我們想要為某些名人照片被盜相關調查提供更新。當得知被盜事件后,我們感到十分憤怒,馬上派出蘋果公司的工程師去查明原因。用戶隱私權和安全性對我們來說是至關重要的。在經過40余個小時的調查后,我們發現某些名人賬號遭到了針對用戶名、密碼和安全問題的定向攻擊,這在網上已變得非常普遍。我們調查的所有案例都并非由于iCloud或Find My iPhone等蘋果公司的系統遭到了入侵。我們正在繼續與執法機關合作,以幫助其找到相關犯罪分子。”
聲明還稱:“為了為這種攻擊提供保護,我們建議所有用戶使用強度較高的密碼,并激活兩步認證程序。我們已在公司網站上說明這兩點。”
在我看來,蘋果的這個聲明主要是想撇清責任,指出是好萊塢女星自己對于密碼保管不當,導致黑客獲取了她們的密碼而進入其iCloud空間,而iCloud本身并沒有遭到系統性攻擊,即使有些漏洞,也已經修復。
這番表態的確有點令人感覺推卸責任的味道,根據早先的報道, Find My iPhone 使用的API允許無限制地嘗試iCloud賬號密碼,這就是一個非常嚴重和低級的錯誤,黑客完全可以通過暴力枚舉的方式來攻擊某個用戶的密碼,如果其密碼設置不夠強壯,就有可能會被猜中。顯然蘋果對其系統安全策略設置不當導致用戶賬戶存在較大風險。
其次,蘋果不能要求所有iPhone使用者都有高超的安全密碼管理能力,的確,如果用戶懂得分級密碼設置,同時設置一個強壯的密碼,黑客窮舉也很難破解,然而,蘋果難道不應該對于一些明顯的異常攻擊做出一些防御措施嗎?至少應該主動屏蔽一些不安全的訪問,例如異地登錄的時候自動啟用兩步驗證等,易用性好固然是用戶的需求,但有時安全性往往比易用性更重要,特別涉及隱私信息的情況下。
最后,蘋果給出的“兩步驗證”也并不是一個最佳的解決方案,首先蘋果目前的“兩步驗證”易用性還并不太好,至少不如谷歌的“兩步驗證”好用,其次,iPhone的“兩步驗證”也有一個悖論,當用戶手機被盜后,用戶反而會因為丟失手機而無法使用兩步驗證,導致不能立刻登錄iCloud進行鎖定手機的操作,從而讓手機內信息泄密的風險加大,等用戶回到家找到“兩步驗證”恢復密鑰的時候,手機上的隱私信息可能已被竊取,而如果將“兩步驗證”恢復密鑰保存在第三方網盤或郵箱,則該網盤或郵箱一但被黑客攻破,即可通過“兩步驗證”恢復密鑰來重置動態密碼,帶來另一種風險。
實際上,當前流行的云服務可能都或多或少存在安全隱患,用戶將數據都保存在云端是十分危險的,很多蘋果用戶并沒有意識到iCloud賬戶被黑而帶來的可怕問題。一旦黑客成功入侵了用戶的iCloud賬戶,不但可以查看用戶同步到云端的照片和郵件,還可以遠程刪除用戶iPhone和iPad上的數據,給用戶造成不可挽回的損失。因此,蘋果手機的用戶需要認清iCloud賬戶的重要性,設置安全的iCloud密碼,并確保iCloud登錄郵箱帳號的安全性,不要將隱私信息放在iCloud上,以免因為一時疏忽而造成無法挽回的損失。