iCloud照片和安全性在聚光灯下

除非你过去几天一直生活在摇滚之下（在这种情况下你已经做出了一个很好的决定直接来到这里），你无疑会听到来自一百多位名人的许多私人照片的出版。

这种隐私侵权行为与iCloud有关，但并非完全可以归咎于此。很明显，这些照片已经从很多来源收集了一段时间。这样的违规行为往往会导致大量的监禁 ，毫无疑问，这会发生同样的事情，但我认为很多人都低估了iCloud的数据被盗的数量。

iCloud拥有哪些数据？

在Reincubate ，我们喜欢让人们访问他们的数据。在遭受数据丢失后，我们知道恢复数据意味着多少。最近几周，我们一直在构建和启动一个API，用于下载和解析您的iCloud数据（如果您的公司可能会使用这种服务， 让我们聊聊 ），所以我们知道有关保护的出色安全性的一两件事您的数据，以及了解Apple-ID和密码组合可以实现的目标。

凭借您的凭据和具有iCloud功能的iPhone备份提取器 ，您可以提取您的iPad或iPhone照片（我们现在都非常清楚），但您也可以提取所有SMS数据，联系人，应用程序特定信息（WhatsApp等） ）仅举几个名字！此外，您还可以访问未存储在备份中的其他iCloud功能，例如跟踪iPhone的位置或下载您存储在iCloud中的文件，例如文档，日历，书签等。便利！

当你丢失手机并且能够保存那些婴儿照片，商业联系人或蓬松的视频时，这绝对是绝佳的。虽然这些信息掌握在恶意第三方手中，但同样不那么精彩。

数据是如何泄露的？

如上所述，您需要 Apple-ID /用户名组合才能访问此数据。除此之外别无他法。 （当然，除非你有一支世界级的密码学家团队执行新颖的数学计算，以打破加密的领先标准，但你最有可能做更好的事情）。对于绝大多数人来说，查找用户的Apple-ID并不容易，但请记住，这只是一个电子邮件地址，根据您的在线状态，隐藏您的电子邮件可能很困难。虽然很多人会为不同的服务使用不同的密码（你也应该这样），但我们很少使用不同的电子邮件地址，因此发现用于一项服务的电子邮件地址并不是一个智能的跳跃，因此认为它对其他人来说是正确的。

所以我们留下了可以猜到或重置的密码。重置密码需要访问电子邮件帐户或了解您设置的各种秘密问题 - 但这些信息可能很难获得。另一方面，猜测需要字面上不知道帐户所有者！任何认真对待安全的公司的自然反应都是让猜测变得困难。如果您拥有Apple帐户，您可能会记住密码必须满足的无数规则才能被认为可用，这是第一种用于使攻击者更难处理的技术。由于将密码设置为123456的天真用户或永远不会自我实现的changeme ，不再允许访问权限。

“好的，我们有强大的（ish）密码，现在是什么？”

好吧，问题的第二部分是猜测很多次。在这种情况下，有几个很好的方法。一种方法是通过执行数千次哈希迭代或使用“慢”算法来使程序变慢（ 这是一篇很好的文章，更深入地讨论它，你知道，如果你是这样的事情）。虽然这减少了每秒可以进行的尝试次数，但是可以做更多的事情，并且在大多数情况下可以做到。我们有多项保障措施，以确保无法完成账户强制执行。

可以实现各种技术（例如，如果发现可疑活动，可以监视登录尝试并禁用帐户），但是这种情况下的问题是存在一个没有任何附加功能的登录API 保护 。攻击者发现Find My iPhone API允许任意数量的密码尝试，这意味着他们只需要尝试一个常用密码列表，希望其中一个密码有效。

而已。就这么简单。

但现在不是了，只要该漏洞被揭露，苹果就会准时修补它。 Apple采取了一些预防措施来防止第三方未经授权访问用户数据，但您自己也有责任保护您的数据，无论是Apple的iCloud还是其他应用程序和服务。