iCloud照片和安全性在聚光灯下
除非你过去几天一直生活在摇滚之下(在这种情况下你已经做出了一个很好的决定直接来到这里),你无疑会听到来自一百多位名人的许多私人照片的出版。
这种隐私侵权行为与iCloud有关,但并非完全可以归咎于此。很明显,这些照片已经从很多来源收集了一段时间。这样的违规行为往往会导致大量的监禁 ,毫无疑问,这会发生同样的事情,但我认为很多人都低估了iCloud的数据被盗的数量。
iCloud拥有哪些数据?
在Reincubate ,我们喜欢让人们访问他们的数据。在遭受数据丢失后,我们知道恢复数据意味着多少。最近几周,我们一直在构建和启动一个API,用于下载和解析您的iCloud数据(如果您的公司可能会使用这种服务, 让我们聊聊 ),所以我们知道有关保护的出色安全性的一两件事您的数据,以及了解Apple-ID和密码组合可以实现的目标。
凭借您的凭据和具有iCloud功能的iPhone备份提取器 ,您可以提取您的iPad或iPhone照片(我们现在都非常清楚),但您也可以提取所有SMS数据,联系人,应用程序特定信息(WhatsApp等) )仅举几个名字!此外,您还可以访问未存储在备份中的其他iCloud功能,例如跟踪iPhone的位置或下载您存储在iCloud中的文件,例如文档,日历,书签等。便利!
当你丢失手机并且能够保存那些婴儿照片,商业联系人或蓬松的视频时,这绝对是绝佳的。虽然这些信息掌握在恶意第三方手中,但同样不那么精彩。
数据是如何泄露的?
如上所述,您需要 Apple-ID /用户名组合才能访问此数据。除此之外别无他法。 (当然,除非你有一支世界级的密码学家团队执行新颖的数学计算,以打破加密的领先标准,但你最有可能做更好的事情)。对于绝大多数人来说,查找用户的Apple-ID并不容易,但请记住,这只是一个电子邮件地址,根据您的在线状态,隐藏您的电子邮件可能很困难。虽然很多人会为不同的服务使用不同的密码(你也应该这样),但我们很少使用不同的电子邮件地址,因此发现用于一项服务的电子邮件地址并不是一个智能的跳跃,因此认为它对其他人来说是正确的。
所以我们留下了可以猜到或重置的密码。重置密码需要访问电子邮件帐户或了解您设置的各种秘密问题 - 但这些信息可能很难获得。另一方面,猜测需要字面上不知道帐户所有者!任何认真对待安全的公司的自然反应都是让猜测变得困难。如果您拥有Apple帐户,您可能会记住密码必须满足的无数规则才能被认为可用,这是第一种用于使攻击者更难处理的技术。由于将密码设置为123456
的天真用户或永远不会自我实现的changeme
,不再允许访问权限。
“好的,我们有强大的(ish)密码,现在是什么?”
好吧,问题的第二部分是猜测很多次。在这种情况下,有几个很好的方法。一种方法是通过执行数千次哈希迭代或使用“慢”算法来使程序变慢( 这是一篇很好的文章,更深入地讨论它,你知道,如果你是这样的事情)。虽然这减少了每秒可以进行的尝试次数,但是可以做更多的事情,并且在大多数情况下可以做到。我们有多项保障措施,以确保无法完成账户强制执行。
可以实现各种技术(例如,如果发现可疑活动,可以监视登录尝试并禁用帐户),但是这种情况下的问题是存在一个没有任何附加功能的登录API 保护 。攻击者发现Find My iPhone API允许任意数量的密码尝试,这意味着他们只需要尝试一个常用密码列表,希望其中一个密码有效。
而已。就这么简单。
但现在不是了,只要该漏洞被揭露,苹果就会准时修补它。 Apple采取了一些预防措施来防止第三方未经授权访问用户数据,但您自己也有责任保护您的数据,无论是Apple的iCloud还是其他应用程序和服务。