顯示結果從 1 到 10 共計 13 條
-
09-03-2014 #1
據國外媒體報導,蘋果公司已經發佈了iCloud的漏洞補丁。這一漏洞可以讓攻擊者對iCloud用戶的賬號密碼進行字典攻擊,這導致本週多位名人的私人照片遭洩。不過也只能算是亡羊補牢之舉,大錯已成。
週一,一個用來攻擊iCloud賬號的Python腳本出現在Github上,這一腳本利用Find My iPhone API(應用編程接口)來進行字典攻擊。 Find My iPhone服務並沒有字典攻擊保護功能,這使得它成了iCloud服務的軟肋。 Find My iPhone服務允許攻擊者無限次對密碼進行試錯,直到找到正確密碼為止。
不過看起來腳本的發佈者更多是為了彰顯iCloud的不安全性。在軟體的README文檔中,腳本發佈者提醒使用者確保使用這一腳本的合法性。
並在蘋果打上補丁後表示,“這一問題存在於很多的驗證服務中,基本的探包和逆向工程技術就可對認證進行破解。
另外之前也出現過攻擊者利用 Find My iPhone 鎖死並劫持用戶的漏洞。蘋果的發言人對此事回應到:“我們很嚴肅認真的看待用戶的隱私,正積極調查這一事件。 ”
不過好萊塢艷照門也已經發生了,證明了蘋果很多系統未必真的如我們想像中的那麼安全,雖然修復了漏洞。但是誰又能夠保證沒有下一次呢?此篇文章於 09-03-2014 21:33 被 achuan 編輯。
-
09-03-2014 #2
只要是人寫的程式,不可能百分百防漏好嗎,就跟法律一樣,多少都有漏洞可鑽.....
-
-
09-04-2014 #3
正所謂樹大招風,沒有絕對的安全,以後的世界令人期待的同時,也充滿了無法想像的危機。
-
09-04-2014 #4
這次的攻擊方式常被稱作字典或暴力破解,原理是得到受害者帳號之後,把常見的密碼每個都試一次,要防範的方式非常簡單,就是密碼要設複雜一點,只要不是人人都容易想到的密碼,都很不容易被試到。
系統方常見的抵禦暴力破解的機制:
使用者密碼錯誤超過一定次數,必須等一段時間才能再次登入(例如iPhone),或是封鎖IP,但昨日看了新聞之後,上iCloud測試,故意一直輸入錯誤的密碼,iCloud也不會有任何阻擋的動作,如果有心人利用鍵盤精靈之類的軟體(甚至手動),同樣的悲劇可能還會發生,希望Apple快對icloud增設防暴力破解的機制。
-
09-04-2014 #5
任何雲端都會有風險,沒有廠商可以保證100%的安全,但是,重點在於如何管理才能降低風險,這不單單是廠商的責任,使用者也要有意識!
最簡單的就是密碼強度
設定密碼強度夠不夠,強度夠了,也不代表駭客無法竊取或破解,在於是否容易達成。
是不是email或是網站會員都用同一個密碼?
有時候因為你的某個Mail密碼被破解,進而影響到你在其它網站也被偽冒登入,造成資料外洩。
是不是定期更改密碼?
這要養成習慣,並不是每個人都會想到要去更改密碼,因為要記得密碼太多了(如果你每個帳號都用不同密碼),其實,自己可以找出一個屬於自己的密碼邏輯,這樣就會產生不同的變化,自己也比較好記。
好奇心不要太重!
對於異常的郵件或是連結,千萬不要有貓咪的精神,寧可錯殺也不要中標一次!
除了靠廠商來做好資料保護的工作,自己也要有安全的意識,因為,資安防護不是一直線的,而是由不同的同心圓所建構,一個圓做不到100%的防護,但是,一組同心圓卻是可以交互防護,降低風險!
淺見~分享~謝謝此篇文章於 09-04-2014 01:09 被 AlanLiTW 編輯。
-
-
09-04-2014 #6
經過這次事件後,我已不相信蘋果了!老是說自己多安全,看蘋果如何解決這事件?
-
09-04-2014 #7
你要擔心的其實不是暴力硬解,而是社交工程。
這次的事件到目前為止還無法確認是否和 iCloud 有關,
因為這些相片不是在短時間內攻破漏洞大量掠奪,
而是在長達數年的時間內,由不特定的多數人,
經由不明管道陸續蒐集,在地下網路社群流傳。
其中大多數相片已被指稱係偽造,
其他相片流出來源與流出時間都無法確定。
把洩漏和 iCloud 扯上關係的,
其實只是一個在地下色情論壇的匿名鄉民,
在 8/26 發吹牛帖宣稱他剛剛掠奪了 iCloud,
然後貼了一張奧斯卡女星相片宣稱是「戰利品」。
而那個匿名鄉民的發言,已有明確證據指證他在說謊:
那張相片確定最晚在 8/19 就已經在地下網路流傳。
後續 Apple 調查結果宣稱,有一些名人的帳號確實有被盜用,
但不是被駭侵或破解,而是被社交工程騙走。
使用的手法,就是釣魚信,或是偽裝「遺失密碼」然後猜安全提問。
至於這些被盜用的帳號是否真的有相片流出還無法判定。
當我們講到網路安全議題時,請先建立一個正確觀念:「人類」才是系統中最弱的一環。
暴力硬解法聽起來很恐怖,但是實際上根本不大可能發揮效用。
暴力硬解法講白了就是一直試一直試,從 "0" 一直試到 "ZZZZZZZZZZZZZZZZZZ"。
做這種測試要花相當久的時間,以 iCloud 允許的最弱密碼底限 8 個字元長度來說,
完整的測試集合總共要執行 218340105584896 次,
你可以自己想像看看測試完要跑多久。
當然比較聰明的暴力硬解法會優先嘗試多數人都會使用的密碼組合,
例如 "yahoo2014" 這種,大部分人都會用的常用字來排列組合。
雖然這樣可以大幅提昇使用較小測試集合就成功破解的機率,
但是這個「較小」測試集合基本上還是一個天文數字。
像我自己先前用的 iCloud 密碼,利用 Intel Password Strength Simulator 測試,
一台 PC 在 local 端用暴力破解法破解一個用這組密碼加密的檔案,要跑 48073 年。
而透過網路攻擊驗證,要花的時間至少要百倍以上。歡迎駭客嘗試。
只要你的密碼不要太無腦,你就不需要太擔心暴力硬解。
你真的該憂心的,是社交工程。
-
-
09-04-2014 #8
從未對網路隱私有放心過,所以絕不把私密照放在有聯網的設備上。
我把所有可以聯網設備的鏡頭都當成全世界駭客的監視器。
因此家裡所有電腦的視訊鏡頭上都貼有便立貼,洗澡也不帶手機。
買了iPhone 座充後,發現常把自己暴露在鏡頭前後,就不用了。
即使我不帥,也不是公眾人物,但依然會怕不小心變成三級片的主角。
-
09-04-2014 #9
-
-
09-04-2014 #10
相似的主題
-
[消息] iOS 6.1.3修補現行漏洞...不過evasi0n表示又發現新漏洞了!
由joeylord123論壇中解鎖優化新聞區回覆: 9最後發表: 04-15-2013, 20:55 -
[消息] 蘋果發佈iOS 6.1.3 Beta 2 修復鎖屏漏洞
由achuan論壇中iPhone 最新消息回覆: 18最後發表: 02-25-2013, 19:28 -
[求助] 關於推送修復補丁
由hotdog1233論壇中解鎖優化討論區回覆: 3最後發表: 06-05-2012, 09:57 -
[新聞稿] 填補安全漏洞 蘋果釋出45個修正檔
由eason25論壇中新知分享回覆: 3最後發表: 06-19-2009, 12:16