-
-
黑客可能利用了Find My Phone漏洞来破解明星iCloud账号泄露不雅照
-
发表于: 2014-9-1 23:38
-
新闻链接:http://www.36kr.com/p/215006.html
新闻时间:2014-09-01 20:04:19
新闻正文:
早前黑客在 4chan 上宣称通过破解 iCloud 爆出了包括 Jennifer Lawrence 等在内的部分明星的不雅照。据 TNW报道,其破解有可能是利用了苹果的 Find My Phone 的一项漏洞,通过暴力破解密码来访问名人的 iCloud 账号。不过苹果已在美国太平洋时间今天凌晨 3:20 修补好了这一漏洞。
据称 Find My Phone 服务的这一漏洞似乎可让攻击者在不受限且对方不知情的情况下反复尝试密码。一旦破解密码成功即可用来访问 iCloud 的其他功能。利用此漏洞的工具被上传到了 GitHub 上,2 天后又被分享到了 Hacker News 上。
值得注意的是漏洞并不允许访问 iCloud 密码,只是允许重复猜密码或者进行自动字典攻击。从下图可见,攻击者使用的字典库是 500 RockYou,这个库采用的密码都是符合 AppleID 密码策略的。但是要想破解密码成功的话,账号原先所设的密码必须相对较弱(参见2013年十大最糟糕密码)。
由于许多名人相互认识,所以有可能会引起连锁反应,破解掉一个人的密码之后其通信录数据可用于识别其他名人的邮件地址,然后再重复类似破解的过程。
因此,这次事件给大家的教训是,密码强度一定要设置得够高(大小写字母加数字加其他字符的组合,密码长度要足够),最好采用双因子认证。
[消息来源:thenextweb.com, 9to5mac.com]
新闻时间:2014-09-01 20:04:19
新闻正文:
早前黑客在 4chan 上宣称通过破解 iCloud 爆出了包括 Jennifer Lawrence 等在内的部分明星的不雅照。据 TNW报道,其破解有可能是利用了苹果的 Find My Phone 的一项漏洞,通过暴力破解密码来访问名人的 iCloud 账号。不过苹果已在美国太平洋时间今天凌晨 3:20 修补好了这一漏洞。
据称 Find My Phone 服务的这一漏洞似乎可让攻击者在不受限且对方不知情的情况下反复尝试密码。一旦破解密码成功即可用来访问 iCloud 的其他功能。利用此漏洞的工具被上传到了 GitHub 上,2 天后又被分享到了 Hacker News 上。
值得注意的是漏洞并不允许访问 iCloud 密码,只是允许重复猜密码或者进行自动字典攻击。从下图可见,攻击者使用的字典库是 500 RockYou,这个库采用的密码都是符合 AppleID 密码策略的。但是要想破解密码成功的话,账号原先所设的密码必须相对较弱(参见2013年十大最糟糕密码)。
由于许多名人相互认识,所以有可能会引起连锁反应,破解掉一个人的密码之后其通信录数据可用于识别其他名人的邮件地址,然后再重复类似破解的过程。
因此,这次事件给大家的教训是,密码强度一定要设置得够高(大小写字母加数字加其他字符的组合,密码长度要足够),最好采用双因子认证。
[消息来源:thenextweb.com, 9to5mac.com]
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
