逾百女星名模裸照外洩,盛傳是蘋果iCloud中「Find My iPhone」(圖)功能出事,儘管蘋果只是說「正積極調查」,沒透露會採取甚麼措施,但蘋果前天馬上推出相關軟件修補,凸顯「Find My iPhone」應該出現保安漏洞。
不斷估密碼 不驚動用戶
「Find My iPhone」功能,主要在遺失手機時使用,只要登入iCloud.com,就可以看到用戶遺失的Mac、iPhone、iPad或iPod touch出現在地圖上。
科技新聞網站The Next Web的威廉斯(Owen Williams)表示,他們一個軟件研發網站Github上,發現一組「暴力破解攻擊密碼」(iBrute),黑客只要利用它,就可在不驚動用戶或系統不自動關閉下,不斷估計密碼,從錯誤中撞中密碼。以六位數的密碼組合為例,由「a」估起到「//////」結束,直至找到密碼為止。
威廉斯指出,黑客更可借用密碼字典來加快估中常用密碼。黑客得到密碼後,就可以在另一部裝置上,登入iCloud,輸入密碼,大肆盜取用戶的檔案。
HackApp是首先披露iCloud安全漏洞的群組,他們發表聲明為此致歉,強調他們只是披露攻擊AppleID的方法,無意盜取私人「火辣私密照」數據,希望藉此和幕後黑手「Original Guy」劃清界線。
英國《每日郵報》
其他外洩途徑
社交工程陷阱
黑客可透過電郵地址、目標者的母姓及出生日期等資料取得蘋果ID及密碼,名人的資料普遍較一般人容易被黑客找到,若然不同賬戶都使用相同密碼,黑客就能一舉取得多項資料。
黑入Google Drive
Google Drive在6月時曾作出更新修補漏洞,當時Google承認若以「建立連結」方式分享檔案,沒有權限的第三方亦能取得文件。據「Original Guy」所言,黑客花了數月時間竊取裸照,意味落手時間可能是Google作出修補前。
Dropbox漏洞
特別受Android手機用戶歡迎的Dropbox,5月亦出現跟Google Drive一樣的保安問題,Dropbox已將漏洞修補,並關閉全數之前共享的連結,確保連結安全後才重新開放。