如果說(shuō)蘋果的iCould有任何缺陷的話，那么本周大量女星的隱私照片泄漏說(shuō)明了一切。 本周一，GitHub上面出現(xiàn)了一個(gè)Python腳本，允許惡意用戶暴力破解目標(biāo)用戶在蘋果iCould上的賬號(hào)密碼，它利用的是蘋果“Find My iPhone”服務(wù)的漏洞。暴力破解是指利用惡意腳本程序反復(fù)猜測(cè)用戶的密碼，直到發(fā)現(xiàn)正確的哪一個(gè)。 下圖修復(fù)后的文件說(shuō)明。

據(jù)稱，在“Find My iPhone”服務(wù)中發(fā)現(xiàn)的漏洞，可以讓黑客使用腳本程序反復(fù)猜測(cè)用戶密碼，蘋果既不會(huì)強(qiáng)制停止，也不會(huì)給目標(biāo)用戶發(fā)出任何警報(bào)。一旦匹配上了密碼，黑客就能自由訪問(wèn)iCould。

在蘋果給這個(gè)漏洞打補(bǔ)?。ìF(xiàn)在已經(jīng)修復(fù)）之前，Twitter用戶也可以使用這個(gè)GitHub上的工具訪問(wèn)自己的賬號(hào)（在Hacker News上分享之前兩天，就已經(jīng)在GitHub上發(fā)布了），而且這款工具的所有者提示，該漏洞已被修復(fù)。

通過(guò)Twitter，有記者與這款工具的創(chuàng)造者Hackapp進(jìn)行了交流，“他”表示這個(gè)bug常見于很多服務(wù)之中，它有很多授權(quán)接口，只要有一些基本的“嗅探和反轉(zhuǎn)技術(shù)知識(shí)”的人，都可以輕松做出這樣的腳本。當(dāng)被問(wèn)到今天的“名人艷照門”事件是否也使用了同樣的技術(shù)時(shí)，Hackapp表示，“目前我沒有證據(jù)，但我承認(rèn)某些人可能使用這款工具?！?/p>

Hackapp還貼出了一個(gè)幻燈片，詳細(xì)解釋了這款工具，以及為什么要開發(fā)這款工具。此外，他們還識(shí)別出了iCould的其他安全問(wèn)題。如下圖所示：

 （沒有計(jì)數(shù)的密碼輸入次數(shù)；沒有加鎖；沒有通知提醒） 

目前尚不清楚這個(gè)漏洞會(huì)存在多久，實(shí)際上，如果黑客獲得了用戶的電子郵箱地址，那些簡(jiǎn)單、易猜的密碼就能輕松被破解。目前還沒有確鑿的證據(jù)證明，那些名人艷照是通過(guò)iCould泄漏出去的，也可能是通過(guò)其他黑客攻擊獲取的。不過(guò)，根據(jù)最先發(fā)布這批照片的黑客宣稱，他們就是從iCould上面得到的。

其實(shí)類似的攻擊曾經(jīng)發(fā)生過(guò)，之前有黑客就勒索過(guò)不少受害人，他們會(huì)利用Find My iPhone功能鎖定用戶手機(jī)，然后再向受害人索取一定金額的錢，才能恢復(fù)手機(jī)功能。蘋果表示正在對(duì)此事進(jìn)行調(diào)查。

 VIA TNW

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。