亚博_主页

这个原因导致了亚博体育 iosiCloud" 艳照门" 事件.

2018-10-08 20:11:08  by亚博国际

这个原因导致了亚博体育 iosiCloud

如果说的iCould 有任何缺陷的话,那么本周大量女星的隐私照片泄漏说明了一切. 本周一,GitHub 上面出现了一个Python 脚本,允许恶意用户暴力破解目标用户在iCould 上的账号密码,它利用的是"Find My iPhone" 服务的漏洞.暴力破解是指利用恶意脚本程序反复猜测用户的密码,直到发现正确的哪一个. 下图修复后的文件说明.

据称,在"Find My iPhone" 服务中发现的漏洞,可以让黑客使用脚本程序反复猜测用户密码,既不会强制停止,也不会给目标用户发出任何警报.一旦匹配上了密码,黑客就能自由访问iCould.

在给这个漏洞打补丁(现在已经修复)之前,Twitter 用户也可以使用这个GitHub 上的工具访问自己的账号(在Hacker News 上分享之前两天,就已经在GitHub 上发布了),而且这款工具的所有者提示,该漏洞已被修复.

通过Twitter ,有记者与这款工具的创造者Hackapp 进行了交流,"他" 表示这个bug 常见于很多服务之中,它有很多授权接口,只要有一些基本的"嗅探和反转技术知识" 的人,都可以轻松做出这样的脚本.当被问到今天的"名人艳照门" 事件是否也使用了同样的技术时,Hackapp 表示,"目前我没有证据,但我承认某些人可能使用这款工具."

Hackapp 还贴出了一个幻灯片,详细解释了这款工具,以及为什么要开发这款工具.此外,他们还识别出了iCould 的其他安全问题.如下图所示:

(没有计数的密码输入次数;没有加锁;没有通知提醒)

目前尚不清楚这个漏洞会存在多久,实际上,如果黑客获得了用户的电子邮箱地址,那些简单、易猜的密码就能轻松被破解.目前还没有确凿的证据证明,那些名人艳照是通过iCould 泄漏出去的,也可能是通过其他黑客攻击获取的.不过,根据最先发布这批照片的黑客宣称,他们就是从iCould 上面得到的.

其实类似的攻击曾经发生过,之前有黑客就勒索过不少受害人,他们会利用Find My iPhone 功能锁定用户手机,然后再向受害人索取一定金额的钱,才能恢复手机功能.表示正在对此事进行调查.

VIA TNW

亚博编辑