日前鬧得熱烘烘的荷里活女星相片流出事件已被證實與 iCloud 及 Find My iPhone 的漏洞有關,黑客更在照片流出後在網絡上發放破解 iCloud 用的工具。而 Apple 亦不甘示弱,在照片流出後,迅速修補漏洞。
漏洞來自 iCloud 與 Find My iPhone
由匿名黑客推出的 iCloud 破解工具的程式碼中可得知,早前大批荷里活女星相片流出的事件的確與 iCloud 的漏洞有相關。是次事件中,黑客除利用 iCloud 的漏洞外,Find My iPhone 上亦有另一個被黑客發現的登入漏洞,導致黑客可以成功輕易駭入 iCloud,並大舉下載目標的私人照片。除照片外,相信受害人的其他個人資料如電郵、聯絡人、日曆行程亦有機會被盜。
一般而言,若然黑客或用戶在登入頁面中出現「撞密碼」的行動時,在若干次數後 (一般多為 5 次左右),系統就會將該用戶攔截,甚至封鎖。但黑客發現 Find My iPhone 的 API 則未有相關機制,因此用戶可不斷嘗試各種不同組合的密碼。
日前黑客更推出名為 ibrute 的暴力破解工具,以對目標的 Find My iPhone 帳號發動暴力破解攻擊。此工具將不斷嘗試各種電子郵件和密碼組合而不被系統攔截,部份較為脆弱的密碼在經過暴力破解工具逾萬次嘗試後終失守,而 Apple 的伺務器亦未有任何警惕。
基於 Apple 的 iOS 預設將用戶裝置上的照片備份到 iCloud,因此一旦成功破解,黑客就可以存取目標 iCloud 帳號上的任何資料與備份。據報道指,Apple 已於 1/9 日修補此漏洞,但目前歐洲部份地區的 Apple 相關服務依然會受到暴力破解。
Source:ZDNet
