苹果iCloud曝漏洞告诉我们什么？
文 /　付 亮

       8月30日晚间，多位美国明星私密照片开始在美国网站和Twitter上流传。在美国的讨论版4Chan上，有用户发布了这些照片，并称这些照片是黑客攻击了多个iCloud帐号之后流出的。这一事件导致珍妮弗·劳伦斯、埃米莉·布朗宁和珍妮·麦卡锡等众多好莱坞女星的裸照和视频泄露。
        iCloud是苹果公司所提供的云端服务，让用户可以免费存储照片、音乐和其它数据。此前，苹果服务中的漏洞允许用户无限次猜测iCloud的密码。代码分享网站Github上的一则帖子称，一名用户发现苹果“寻找我的iPhone”( Find My iPhone)服务存在一个漏洞，黑客可以利用这个漏洞不断尝试密码，直至找到正确的密码。Find My iPhone服务可以帮助用户追踪失踪iPhone的位置，如果iPhone被窃，用户可以通过该功能远程锁死iPhone，让其无法使用。
        在大多数在线服务中，仅允许进行有限次的密码猜测，多次输入错误密码后账户会自动锁死，以防账户遭遇所谓的“暴力破解”攻击。
        FireEye信息安全威胁主管Darian Kindlund认为，这可能是一次直接的暴力攻击。换句话说，攻击者不应被允许进行无限次的猜测。如果采取一些额外的信息安全保护措施，那么事故完全可以避免。这种额外的信息安全措施就是苹果所谓的“两步验证”，这种两步验证机制会要求用户输入发送至手机或其他设备的动态密码，由于动态密码一直在变化，因此即使黑客知道了一般密码，也很难入侵某一帐号。而如果被攻击的帐号没有启用这种两步验证机制，那么遭到黑客入侵的可能性将大幅上升。
       苹果并未广泛宣传这样的安全措施。Darian Kindlund表示：“整体而言，苹果提供这类保护措施的时间较晚，同时也没有进行宣传。你需要查看技术支持文档才能找到相关内容。”
       苹果调查后发表官方声明，否认其Find My iPhone功能存在漏洞和被黑客利用的可能，是用户将账户、密码和安全问题等信息设置太简单了。
       针对此次事件，本人分析认为：可以初步判断，苹果云服务iCloud普通登录方式的一个安全漏洞，被利用了。这个漏洞针对普通的、没有采用二次认证服务的用户，黑客可以通过持续尝试，找到正确的密码，而这个做法可以通过软件实现。
        辩证地看问题，这告诉了我们什么呢？
        1、iCloud这样的大型软件确实有漏洞/BUG/后门等，可能被黑客或坏人利用，存在安全隐患，WINDOWS、IOS、Android、微博、微信甚至安全软件的更新版本中也都有很大的比例是发现并弥补漏洞。但这些经过严格开发周期的产品，比一些小公司推出的“操作系统”或APP仍然要安全得多。国产的操作系统要想挑战WINDOWS等，首先要解决的问题是自身软件的成熟度，否则即使不是基于开源平台开发，每一条原代码都是你自己的，仍可能包含大量的可被黑客等利用的漏洞。
       2、秘密资料、隐私资料不应该在没有安全保护的情况下放在开放空间。绝密资料不应该在公网上出现，无论是存储还是传播，都应该物理隔离。
       3、无论是手机，还是PC，应尽可能搭建一个安全的环境，以提高安全防护能力。
       4、即使是不安全的环境，在完善的安全管理机制上，也可能做到很高的安全保护。苹果通过封闭的IOS可提供较高的安全防护，但与之相比，可控的Android、Linux更易于第三方采取进一步的安全防护措施。
       5、一出问题就上纲上线，直接否定iCloud，必将面临危害更大的安全隐患。