黑客可能利用了Find My Phone漏洞来破解明星iCloud账号泄露不雅照

boxi · 2014-09-01
早前黑客在4chan上宣称通过破解iCloud爆出了包括Jennifer Lawrence等在内的部分明星的不雅照。据TNW报道,其破解有可能是利用了苹果的Find My Phone的一项漏洞,通过暴力破解密码来访问名人的iCloud账号。不过苹果已在美国太平洋时间今天凌晨3:20修补好了这一漏洞。 据称Find My Phone服务的这一漏洞似乎可让攻击者在不受限且对方不知情的情况下反复尝试密码。一旦破解密码成功即可用来访问iCloud的其他功能。利用此漏洞的工具被上传到了GitHub上,2天后又被分享到了Hacker News上。 值得注意的是漏洞并不允许访问iCloud密码,只是允许重复猜密码或者进行自动字典攻击。从下图可见,攻击者使用的字典库是500 Rock You,这个库采用的密码都是符合AppleID密码策略的。但是要想破解密码成功的话,账号原先所设的密码必须相对较弱(参见2013年十大最糟糕密码)。


早前黑客在4chan上宣称通过破解iCloud爆出了包括Jennifer Lawrence等在内的部分明星的不雅照。据TNW报道,其破解有可能是利用了苹果的Find My Phone的一项漏洞,通过暴力破解密码来访问名人的iCloud账号。不过苹果已在美国太平洋时间今天凌晨3:20修补好了这一漏洞。

据称Find My Phone服务的这一漏洞似乎可让攻击者在不受限且对方不知情的情况下反复尝试密码。一旦破解密码成功即可用来访问iCloud的其他功能。利用此漏洞的工具被上传到了GitHub上,2天后又被分享到了Hacker News上。


值得注意的是漏洞并不允许访问iCloud密码,只是允许重复猜密码或者进行自动字典攻击。从下图可见,攻击者使用的字典库是500 RockYou,这个库采用的密码都是符合AppleID密码策略的。但是要想破解密码成功的话,账号原先所设的密码必须相对较弱(参见2013年十大最糟糕密码)。


由于许多名人相互认识,所以有可能会引起连锁反应,破解掉一个人的密码之后其通信录数据可用于识别其他名人的邮件地址,然后再重复类似破解的过程。

因此,这次事件给大家的教训是,密码强度一定要设置得够高(大小写字母加数字加其他字符的组合,密码长度要足够),最好采用双因子认证。

+1
0

好文章,需要你的鼓励

参与评论
登录后才能参与讨论哦...
后参与讨论
提交评论0/1000

请回复有价值的信息,无意义的评论将很快被删除,账号将被禁止发言。

36氪APP让一部分人先看到未来
36氪
鲸准
氪空间

为你推送和解读最前沿、最有料的科技创投资讯

一级市场金融信息和系统服务提供商

聚集全球最优秀的创业者,项目融资率接近97%,领跑行业