9月3日凌晨消息,蘋果公司對名人iCloud賬號被黑事件作出了回應(yīng),稱未發(fā)現(xiàn)iCloud云存儲遭大規(guī)模侵入跡象,這一事件導(dǎo)致多名好萊塢女星的艷照外泄。
蘋果公司發(fā)表聲明稱:“我們想要為某些名人照片被盜相關(guān)調(diào)查提供更新。當(dāng)?shù)弥槐I事件后,我們感到十分憤怒,馬上派出蘋果公司的工程師去查明原因。用戶隱私權(quán)和安全性對我們來說是至關(guān)重要的。在經(jīng)過40余個小時的調(diào)查后,我們發(fā)現(xiàn)某些名人賬號遭到了針對用戶名、密碼和安全問題的定向攻擊,這在網(wǎng)上已變得非常普遍。我們調(diào)查的所有案例都并非由于iCloud或Find My iPhone等蘋果公司的系統(tǒng)遭到了入侵。我們正在繼續(xù)與執(zhí)法機(jī)關(guān)合作,以幫助其找到相關(guān)犯罪分子。”
聲明還稱:“為了為這種攻擊提供保護(hù),我們建議所有用戶使用強(qiáng)度較高的密碼,并激活兩步認(rèn)證程序。我們已在公司網(wǎng)站上說明這兩點(diǎn)。”
在我看來,蘋果的這個聲明主要是想撇清責(zé)任,指出是好萊塢女星自己對于密碼保管不當(dāng),導(dǎo)致黑客獲取了她們的密碼而進(jìn)入其iCloud空間,而iCloud本身并沒有遭到系統(tǒng)性攻擊,即使有些漏洞,也已經(jīng)修復(fù)。
這番表態(tài)的確有點(diǎn)令人感覺推卸責(zé)任的味道,根據(jù)早先的報(bào)道, Find My iPhone 使用的API允許無限制地嘗試iCloud賬號密碼,這就是一個非常嚴(yán)重和低級的錯誤,黑客完全可以通過暴力枚舉的方式來攻擊某個用戶的密碼,如果其密碼設(shè)置不夠強(qiáng)壯,就有可能會被猜中。顯然蘋果對其系統(tǒng)安全策略設(shè)置不當(dāng)導(dǎo)致用戶賬戶存在較大風(fēng)險。
其次,蘋果不能要求所有iPhone使用者都有高超的安全密碼管理能力,的確,如果用戶懂得分級密碼設(shè)置,同時設(shè)置一個強(qiáng)壯的密碼,黑客窮舉也很難破解,然而,蘋果難道不應(yīng)該對于一些明顯的異常攻擊做出一些防御措施嗎?至少應(yīng)該主動屏蔽一些不安全的訪問,例如異地登錄的時候自動啟用兩步驗(yàn)證等,易用性好固然是用戶的需求,但有時安全性往往比易用性更重要,特別涉及隱私信息的情況下。
最后,蘋果給出的“兩步驗(yàn)證”也并不是一個最佳的解決方案,首先蘋果目前的“兩步驗(yàn)證”易用性還并不太好,至少不如谷歌的“兩步驗(yàn)證”好用,其次,iPhone的“兩步驗(yàn)證”也有一個悖論,當(dāng)用戶手機(jī)被盜后,用戶反而會因?yàn)閬G失手機(jī)而無法使用兩步驗(yàn)證,導(dǎo)致不能立刻登錄iCloud進(jìn)行鎖定手機(jī)的操作,從而讓手機(jī)內(nèi)信息泄密的風(fēng)險加大,等用戶回到家找到“兩步驗(yàn)證”恢復(fù)密鑰的時候,手機(jī)上的隱私信息可能已被竊取,而如果將“兩步驗(yàn)證”恢復(fù)密鑰保存在第三方網(wǎng)盤或郵箱,則該網(wǎng)盤或郵箱一但被黑客攻破,即可通過“兩步驗(yàn)證”恢復(fù)密鑰來重置動態(tài)密碼,帶來另一種風(fēng)險。
實(shí)際上,當(dāng)前流行的云服務(wù)可能都或多或少存在安全隱患,用戶將數(shù)據(jù)都保存在云端是十分危險的,很多蘋果用戶并沒有意識到iCloud賬戶被黑而帶來的可怕問題。一旦黑客成功入侵了用戶的iCloud賬戶,不但可以查看用戶同步到云端的照片和郵件,還可以遠(yuǎn)程刪除用戶iPhone和iPad上的數(shù)據(jù),給用戶造成不可挽回的損失。因此,蘋果手機(jī)的用戶需要認(rèn)清iCloud賬戶的重要性,設(shè)置安全的iCloud密碼,并確保iCloud登錄郵箱帳號的安全性,不要將隱私信息放在iCloud上,以免因?yàn)橐粫r疏忽而造成無法挽回的損失。