原本不想發(fā)這篇文章的，想封存下來，但看到事件的發(fā)展走向越來越微妙，有兄弟夜不能寐，不能免俗，還是出來說說。

先來科普下這次事件的罪魁禍?zhǔn)祝?strong>find my iPhone功能。

蘋果手機內(nèi)置了一個重要的安全功能叫 find my iPhone , 蘋果手機與Apple ID綁定開啟該功能后，用戶可以通過Apple ID遠程鎖定手機和抹去手機數(shù)據(jù)。

說簡單點，蘋果這個遠程鎖機的安全功能需要知道兩個角色，一個是硬件，一個是人，蘋果怎么來分辨硬件和人呢？

1、設(shè)別硬件需要靠IMEI號，IMEI（移動設(shè)備國際識別碼）是手機的唯一識別號碼。用手機撥號輸入*#06#，屏幕上會顯示IMEI，蘋果手機的背后打印著IMEI號。

2、設(shè)別人需要靠賬號，蘋果的賬號體系就是Apple ID，Apple ID默認(rèn)是用戶的一個郵箱，Apple ID本身也有很多安全保護措施，如找回密碼和兩步驗證。

今年網(wǎng)易手機315策劃了一個專題“克隆IMEI碼引發(fā)的風(fēng)波”

建議大家細(xì)讀一下這個專題，我這里給大家簡單解讀一下，IMEI號是可以被克隆的，也就是硬件的身份能夠被偽造，蘋果分不清楚你的iPhone是你iPhone。網(wǎng)易手機315專題得出的結(jié)論是：

“iPhone鎖定其他設(shè)備的原理是利用硬件漏洞，通過更換通訊CPU和更改基帶存儲器底層資料，修改閃存中的設(shè)備信息，使設(shè)備信息和要被鎖定的機器相同，且待被鎖設(shè)備iCloud查找iPhone未被啟用（蘋果安全機制嚴(yán)重漏洞），然后刷機、激活、鎖定！”

我再用半通俗半技術(shù)的話解讀下——

這個刷機需要一臺越獄的蘋果手機，越獄還不是關(guān)鍵，還需要能硬解，能夠改寫硬件里的數(shù)據(jù)也就是改寫IMEI號。

這個產(chǎn)業(yè)鏈一度盛行，經(jīng)常有人的iPhone莫名其妙地被鎖定，說白了這里是蘋果安全機制的一個疏漏，沒辦法認(rèn)清楚硬件和人，硬件標(biāo)識可以偽造，綁定到一個惡意Apple ID上，這個Apple ID就可以在云端不分青紅皂白的鎖定這個IMEI號的設(shè)備。

所以，你的IMEI號泄露了，很有可能被這個產(chǎn)業(yè)鏈的人惡意利用鎖定你的手機。

講到這里，進入正題，其實圍繞find my iPhone功能和漏洞，拋出了一個終極的哲學(xué)問題，你怎么證明你是你！

現(xiàn)在硬件都不能證明硬件自己了，換成人怎么辦？大家無論使用Apple ID還是網(wǎng)易郵箱，最重要的要素就是密碼，即黑客知道了你的Apple ID密碼也能鎖定你的iPhone，Apple ID是一個郵箱，黑客無需攻破你的Apple ID，只要能攻破你這個Apple ID的郵箱。由于之前蘋果出過大規(guī)模的好萊塢明星iCloud艷照泄露事件，蘋果推出了新的安全機制，也就是兩步驗證——

兩步驗證的意思是密碼不再被信任，你有了密碼還需要短信和信任的硬件認(rèn)證，密碼已經(jīng)不能代表你了，還需要其他東西來證明你是你。

最近幾年爆出最影響深遠的安全事件莫過于“拖庫”，國內(nèi)許多重要網(wǎng)站的用戶密碼都泄露了，像這次大規(guī)模蘋果手機被鎖的事一發(fā)生，神經(jīng)敏感的人肯定往“拖庫”上去想，是不是蘋果的密碼泄露了，是不是網(wǎng)易郵箱的密碼泄露了。

除了“拖庫”還有“撞庫”，是黑客通過網(wǎng)站的登錄接口進行密碼的暴力破解，而這個暴力破解的密碼就是之前“拖庫”泄露的你的常用密碼。

“拖庫”和“撞庫”是兩個截然不同的安全事件了，“拖庫”可以認(rèn)為廠商的數(shù)據(jù)庫直接就淪陷了，可以被黑客直接拖走?！白矌臁敝荒苷f廠商的網(wǎng)站業(yè)務(wù)存在安全漏洞，用戶的賬號被人間接攻破。

這次事件，如果說是“拖庫”那么就嚴(yán)重了，說明廠商毫無安全可言，廠商的信譽將大損，如果說是“撞庫”，那么問題就被弱化了，無非是業(yè)務(wù)上出現(xiàn)了安全漏洞。

說句公道話，無論是“拖庫”和“撞庫”，都得講究證據(jù)，如果沒有證據(jù)就說網(wǎng)易被“拖庫”了，那明顯有炒作的嫌疑。如果真是“撞庫”，那么廠商也不想把問題擴大化，公關(guān)之詞也可以被理解。

說句大道理，其實“拖庫”和“撞庫”于大眾而言沒有任何意義，這個時候廠商應(yīng)該想的是如何善后，為用戶真正解決問題。個人還是比較認(rèn)可網(wǎng)易的業(yè)務(wù)安全的，但是這個關(guān)鍵時刻，廠商不應(yīng)行公關(guān)之詞，而是要宣傳加強自己的業(yè)務(wù)安全，是個非常好的機會來用事件推動產(chǎn)品安全！

我想至今還有大部分用戶不知道網(wǎng)易密碼丟了，連密碼方式都忘了以后怎么要回來。這里提醒下，進網(wǎng)易賬號修復(fù)支持中心可以直接申訴，這里面的流程雖然也有安全漏洞，但總比干看著好。

另外如果你的蘋果手機遇到鎖機情況無法解決，有購物小票、發(fā)票等能證明手機是你的票據(jù)，就可以去蘋果售后官方解鎖，并且可以選擇報案，讓警方和蘋果搗毀這群不法分子?！?/p>

最后再說句實話，這次事件大眾是受害者，廠商也是受害者，安全圈如果沒有證據(jù)，就不要再火上澆油加害受害者了，抱團去挑戰(zhàn)這個萬惡的黑色產(chǎn)業(yè)鏈才是正途。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。