iCloud照片和安全性在聚光灯下

Andrew Dancy

By Andrew Dancy

Published

更新

See how I'm qualified to write this article

除非你过去几天一直生活在摇滚之下(在这种情况下你已经做出了一个很好的决定直接来到这里),你无疑会听到来自一百多位名人的许多私人照片的出版。

这种隐私侵权行为与iCloud有关,但并非完全可以归咎于此。很明显,这些照片已经从很多来源收集了一段时间。这样的违规行为往往会导致大量的监禁 ,毫无疑问,这会发生同样的事情,但我认为很多人都低估了iCloud的数据被盗的数量。

Sign in to iCloud
登录iCloud

iCloud拥有哪些数据?

Reincubate ,我们喜欢让人们访问他们的数据。在遭受数据丢失后,我们知道恢复数据意味着多少。最近几周,我们一直在构建和启动一个API,用于下载和解析您的iCloud数据(如果您的公司可能会使用这种服务, 让我们聊聊 ),所以我们知道有关保护的出色安全性的一两件事您的数据,以及了解Apple-ID和密码组合可以实现的目标。

凭借您的凭据和具有iCloud功能的iPhone备份提取器 ,您可以提取您的iPad或iPhone照片(我们现在都非常清楚),但您也可以提取所有SMS数据,联系人,应用程序特定信息(WhatsApp等) )仅举几个名字!此外,您还可以访问未存储在备份中的其他iCloud功能,例如跟踪iPhone的位置或下载您存储在iCloud中的文件,例如文档,日历,书签等。便利!

当你丢失手机并且能够保存那些婴儿照片,商业联系人或蓬松的视频时,这绝对是绝佳的。虽然这些信息掌握在恶意第三方手中,但同样不那么精彩。

iPhone Backup Extractor iCloud data access
iPhone备份提取器iCloud数据访问

数据是如何泄露的?

如上所述,您需要 Apple-ID /用户名组合才能访问此数据。除此之外别无他法。 (当然,除非你有一支世界级的密码学家团队执行新颖的数学计算,以打破加密的领先标准,但你最有可能做更好的事情)。对于绝大多数人来说,查找用户的Apple-ID并不容易,但请记住,这只是一个电子邮件地址,根据您的在线状态,隐藏您的电子邮件可能很困难。虽然很多人会为不同的服务使用不同的密码(你也应该这样),但我们很少使用不同的电子邮件地址,因此发现用于一项服务的电子邮件地址并不是一个智能的跳跃,因此认为它对其他人来说是正确的。

所以我们留下了可以猜到或重置的密码。重置密码需要访问电子邮件帐户或了解您设置的各种秘密问题 - 但这些信息可能很难获得。另一方面,猜测需要字面上不知道帐户所有者!任何认真对待安全的公司的自然反应都是让猜测变得困难。如果您拥有Apple帐户,您可能会记住密码必须满足的无数规则才能被认为可用,这是第一种用于使攻击者更难处理的技术。由于将密码设置为123456的天真用户或永远不会自我实现的changeme ,不再允许访问权限。

“好的,我们有强大的(ish)密码,现在是什么?”

好吧,问题的第二部分是猜测很多次。在这种情况下,有几个很好的方法。一种方法是通过执行数千次哈希迭代或使用“慢”算法来使程序变慢( 是一篇很好的文章,更深入地讨论它,你知道,如果你是这样的事情)。虽然这减少了每秒可以进行的尝试次数,但是可以做更多的事情,并且在大多数情况下可以做到。我们有多项保障措施,以确保无法完成账户强制执行。

可以实现各种技术(例如,如果发现可疑活动,可以监视登录尝试并禁用帐户),但是这种情况下的问题是存在一个没有任何附加功能的登录API 保护 。攻击者发现Find My iPhone API允许任意数量的密码尝试,这意味着他们只需要尝试一个常用密码列表,希望其中一个密码有效。

而已。就这么简单。

但现在不是了,只要该漏洞被揭露,苹果就会准时修补它。 Apple采取了一些预防措施来防止第三方未经授权访问用户数据,但您自己也有责任保护您的数据,无论是Apple的iCloud还是其他应用程序和服务。

About the author

Andrew Dancy co-founded Reincubate in 2008 and pioneered techniques with recovery of location data from iOS. He sits on the company's board, with a law-tech background and a particular interest in privacy and security.

Reincubate's CEO at Buckingham Palace

Pictured above are members of Reincubate’s team meeting HM Queen Elizabeth Ⅱ at Buckingham Palace, after being awarded the UK’s highest business award for our work with Apple technology. Read our position on privacy, safety and security.

Can we improve this article?

We love hearing from users: why not drop us an email, leave a comment, or tweet @reincubate?

© 2008 - 2019 Reincubate Ltd. 保留所有权利。 Registered in England and Wales #5189175, VAT GB151788978. Reincubate® is a registered trademark. 隐私权和条款. 我们推荐多因素认证。 在伦敦建立了爱情。