一周海外安全事件回顾(8.31-9.6):扑朔迷离的艳照门

  本文希望可以让你感受一下整个“艳照门”事件前前后后的那些有趣的人和事儿。当影星不容易,当女星更不容易,当使用苹果手机的女星更更不容易。

  上周海外安全圈最大的焦点无疑是Jennifer Lawrence和与她一样深陷果体艳照门的名流们。

  众说纷纭

  故事的开始是在上周日(8月31日),4chans(笔者注:米国某知名图片分享网站)和Reddit(笔者注:米国某社交新闻网站)曝光了苹果iCloud系统被入侵,包括奥斯卡奖获得者Jennifer Lawrence在内的,以及Kirsten Dunst, Kate Upton ,Briton Jessica 等多达100余位名流的“艳照”被泄露。

  于是,一方面大量影星的“果体”艳照在互联网上疯传,另一方面关于此次“艳照门”事件的起因经过也在各个社交媒体热烈讨论。

  一个早期的版本更像是现实版的“谍中谍”。据说某黑客长期收集影星艳照,后来那哥们儿的计算机被另一个黑客拿下,里面的这些“收藏品”自然而然被入侵者纳入囊中。更有安全专家对艳照进行了细致的分析,得出部分照片并非来自“艳照门”受害者,而是其男友的结论。原因是通过对Kate Upton艳照的分析发现,其EXIF(可交换图像文件)信息暴露了拍照者是Upton的男友,因此专家怀疑泄漏照片的可能是Upton的男友,而非本人。

  不过,在黑客论坛被黑客津津乐道的却是早期版本的增强版。世人太小看黑客精神,幼稚地认为凭借蛮力就获得了这些照片;事实上,黑客获取照片是一个相当长期的行为。

  一个名叫OriginalGuy(在逃)的黑客在论坛吹嘘自己有Lawrence的裸照,还说很多人参与了这件事情。之后,开始有人卖照片,更有人说提供从icloud上“拿”照片的业务。在8月底,就已经有人在一个色情网站论坛说自己搞到了一个不错的地方可以拿到Lawrence的裸照。之后,暗流涌动,有人开始花比特币换照片。

  这也就是著名的比特币版本——黑客偷照片是为了交易比特币。在这个版本中,有猜测,黑客盯上icloud不是最近的事情。甚至有知情者称,黑客尝试入侵icloud的行为甚至可以追溯到2011年11月,即icloud上线后2个月。

  官方否认

  上面谈到了对艳照门事件的诸多猜测,那么当事人之一的苹果公司是怎么说的呢?

  众所周知,在本次“艳照门”事件中,苹果公司始终否认icloud有安全隐患。即便是之后被很多安全专家诟病的未限制登录次数的安全机制也被苹果否认。苹果称,黑客获得这些照片,是通过“a practice that has become all too common on the internet”(普遍采用的入侵手段),而包括icloud以及Find my IPhone功能都没问题。

  那么,苹果所说的 “common practice”到底是什么手段呢?简单地说,社工。

  苹果认为,黑客之所以可以获得如此之多的照片,手段大致相同,是长期社工的结果。登录iCloud系统除了输入账号、密码之外,还有另外的手段可以登入:正确输入电子邮件地址、生日以及回答三个安全问题中的两个。

  这真是一个“机智”的回答。很明显,如果可以同时获得一个陌生人的电子邮件地址、生日以及预设的三个安全问题中两个的答案,貌似是非常困难的。苹果恰恰是以此为借口认为其系统没有问题。苹果认为问题在于,黑客通过广泛收集信息通过了上述挑战。这就是所谓的社工入侵。所谓的社工,换句话说,源于用户自己隐私信息不经意间的泄漏,就像账号、密码自己不小心被人家得到了一样,由此导致的信息泄漏当然不能埋怨别人。

  事实真是这样吗?

  事情真相?

  就在大家为“艳照门”背后原因争吵得不亦乐乎的时候,有人跳出来提醒,前两天不是刚有人说iCloud有问题吗?还提供了渗透工具哩!

  事情还真是很巧,就在艳照门曝光的前一天,即8月30日,在俄罗斯圣彼得堡的Defcon大会上,恰巧有来自HackApp公司的两名安全专家公开提到苹果系统,包括iPhone和iCloud都有安全隐患。问题在于不对用户登录次数做限制,以及过于简单的Security Code(只有4位)。结论是,这可能导致黑客通过暴力破解入侵系统。 在那次会议上,HackApp还分享了暴力破解工具——iBrute。

  这就是迄今最为被大家接受的版本——苹果iCloud系统由于多项安全防护措施不完善,存在未对用户登录尝试次数进行限制,以及安全码过短等隐患,导致iCloud系统被“成功”暴力破解。黑客采用穷举法获得了影星们的iCloud账号密码,登录系统,获得了大量艳照。

  苹果对此的解释是,根据苹果iCloud的iCloud Keychain硬件防护机制,如果用户尝试登录密码的次数超过一定数量,iCloud会自动阻止该用户的登录,用户要登录必须要更换手机。然而,安全人员对iCloud的测试显示并非苹果所阐述的那样,iCloud事实上并没有登录次数的限制。

  然而,这个不限制登录次数的问题在周一上午被苹果神奇地修复了。

  有趣的是,另一个受牵连的HackApp公司显然不满于将此次艳照门和iBrute工具联系在一起。他们通过社交媒体明确否认艳照门是iBrute工具所致。

  结尾

  上面说了一大堆围绕艳照门事件林林总总的猜测。笔者认为,到底这些名流的照片是如何泄露的,其实一点也不重要。

  就算这些名流平时加强个人信息保护,谁能保证存放这些信息的银行、运营商甚至政府系统就不会被入侵?此外,如果是黑客刻意的社工钓鱼,请问有几个名流可以防得住?

  该干嘛干嘛吧。如果连锤子都认为最好的手机还有问题,那么别的手机更难以独善其身。既然用了苹果,就要“信”它。你看,某女星的照片被苹果泄露之后,还不忘感谢苹果哩!

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:Lightaidra借DDoS僵尸还魂……已经变种