黑客可能利用了Find My Phone漏洞来破解明星iCloud账号泄露不雅照


早前黑客在4chan上宣称通过破解iCloud爆出了包括Jennifer Lawrence等在内的部分明星的不雅照。据TNW报道,其破解有可能是利用了苹果的Find My Phone的一项漏洞,通过暴力破解密码来访问名人的iCloud账号。不过苹果已在美国太平洋时间今天凌晨3:20修补好了这一漏洞。

据称Find My Phone服务的这一漏洞似乎可让攻击者在不受限且对方不知情的情况下反复尝试密码。一旦破解密码成功即可用来访问iCloud的其他功能。利用此漏洞的工具被上传到了GitHub上,2天后又被分享到了Hacker News上。


值得注意的是漏洞并不允许访问iCloud密码,只是允许重复猜密码或者进行自动字典攻击。从下图可见,攻击者使用的字典库是500 RockYou,这个库采用的密码都是符合AppleID密码策略的。但是要想破解密码成功的话,账号原先所设的密码必须相对较弱(参见2013年十大最糟糕密码)。


由于许多名人相互认识,所以有可能会引起连锁反应,破解掉一个人的密码之后其通信录数据可用于识别其他名人的邮件地址,然后再重复类似破解的过程。

因此,这次事件给大家的教训是,密码强度一定要设置得够高(大小写字母加数字加其他字符的组合,密码长度要足够),最好采用双因子认证。

除非注明,本站文章均为原创或编译,转载请注明: 文章来自 36氪


36氪官方iOS应用正式上线,支持『一键下载36氪报道的移动App』和『离线阅读』 立即下载!

发表回复