9月2日,美国东部时间2:30,苹果做了一些它通常不会做的事情:它发布了紧急媒体咨询,告知其用户安全隐患。在过去的48小时内,包括eWEEK在内的多家媒体都报道了这一风险,原因是好莱坞的名人侵犯了他们的个人隐私,并盗取了图片,据称是从Apple的iCloud服务中窃取的。
苹果公司表示:“经过40多个小时的调查,我们发现某些名人帐户受到针对用户名,密码和安全性问题的针对性攻击,这种作法在互联网上已经非常普遍。” “我们调查的案件中,没有一个是由于苹果的任何系统(包括iCloud或Find my iPhone)的任何违规行为造成的。”
该声明声称,iCloud本身并未遭到破坏,但这就是保存图像的服务。该声明声称这是一次“有针对性的攻击”,但被黑客入侵的不是一两个名人,而是数十个。此外,该声明还声称该攻击是针对用户名的,在这种情况下,该用户名是AppleID,实际上是由Apple控制的系统。
毫无疑问。这里发生了犯罪行为,黑客对此负责。也就是说,苹果公司还有责任适当保护用户,使其免受黑客和他人的攻击。
在这里进行更深入的研究,Apple尚未向我们提供其40小时调查的全部详细信息,并且尚不确切知道针对性攻击使用了哪些工具。流行的理论之一是,这是蛮力攻击,它会随机并自动猜测用户名和密码。苹果公司称未直接违反iCloud或“查找我的iPhone”系统的说法并没有否定这一理论。
另一种可能性是一种简单的网络钓鱼攻击,其中,黑客向名人发送了虚假电子邮件,并诱使他们单击某些内容。此类攻击可能潜在地导致了凭证泄露。
无论如何,苹果都应该并且必须做一些事情来保护其用户免受暴力攻击和网络钓鱼攻击。尽管用户在单击链接时可以使用复杂的密码和常识,但Apple可以超越此限制。
在今年早些时候的黑帽美国安全会议上,雅虎首席信息安全官亚历克斯·斯塔莫斯(Alex Stamos)提出了他所谓的“安全家长制”的理由。也就是说,供应商可以并且应该代表用户做出安全决策,以帮助保护他们。在这一点上,苹果采用Stamos的方法并为用户采取积极的安全措施将是一个好主意。
在暴力攻击中,一种称为速率限制的技术是一种明显的缓解技术,该技术可限制用户可以尝试进行连接的次数。此外,假设用户已经从其本地位置登录iCloud,Apple可能或应该能够确定从其他位置进行远程登录可能是对访问的欺诈尝试。
类似于银行和信用卡供应商用于通过异常行为检测欺诈的大数据分析技术,也可以用来限制网络钓鱼的风险。
如果用户要求将iCloud完整还原到新设备,而他们现有的设备仍处于活动状态,则应该向用户的电子邮件或电话发送某种确认提示。如果iCloud备份只能备份并还原到经过验证的AppleID连接的设备,则这是另一个可能的步骤,可以限制风险。
毫无疑问,苹果公司的安全团队拥有更多的想法和技术,可以进一步提高用户安全性。就我们所知,Apple可能已经在执行上面概述的所有各种技术。
最重要的是,全球用户现在对Apple的安全性存在恐惧,不确定性和怀疑,这家科技巨头有责任采取一切可能的措施来恢复信任和信心。