苹果的iCloud“艳照门”事件前段时间闹得沸沸扬扬,尽管苹果表示主要责任是女星们没有保护好自己的账号密码,但是现在有一份证据显示该时间完全有可能避免。
一份苹果与某安全研究人员的来往邮件显示,伦敦的软件开发人员IbrahimBalic在3月26日时就向苹果提交了一份安全反馈,称他已经成功绕过了iCloud安全机制,发动了Brute-Force攻击(穷举暴力破解密码)。并且他可以在任意iCloud账户上尝试2万多个密码组合,而账户并不会被锁定。
在很多人的印象中,经常输错密码几次之后,账号就会被锁定,包括iOS系统也是如此。但是偏偏iCloud并不具备这项功能,这导致了黑客可以用这种最直接的暴力破解方式破解掉用户的密码。
iCloud.com 这其实是一个很容易解决的问题,但是苹果并没有采取相关的措施。值得注意的是并不是苹果没有发现这份邮件,而是在邮件发出一小时后就进行了回复,然后就美誉哦下文了。
现在苹果推出了一个安全提醒服务,当有人尝试修改账户密码、将iCloud数据恢复到新设备上或者首次使用账户登录一款设备时,苹果将通过电邮和推送通知的方式向用户发出警告。而且新的系统允许用户立即采取措施,包括以更改密码的方式重新取得对账户的控制权,或者向苹果安全团队报告。
除此之外苹果还正式为iCloud.com网站开启了两步验证机制,当用户想要访问iCloud.com网页应用时,登陆需要输入验证码。只有当用户输入正确验证码时,才可以访问邮件、通讯录、日历、提醒事项、Pages、Numbers和Keynote等应用。
