&&&& 苹果：iCloud账户被盗是因密码太简单
苹果：iCloud账户被盗是因密码太简单
苹果iCloud漏洞致好莱坞大量女星裸照外泄的事件已成为这两天最热论的话题。苹果公司与美国联邦调查局（FBI）已就事件发生的原因展开了深入调查。周一下午，苹果再度发表官方声明，并就调查的进展给出了以下新结论。&我们想就部分明星照片被窃的事件调查公布一下最新进展。在我们获知出现信息被盗事件后，我们立即召集了苹果工程师去探索入侵来源。我们用户的隐私和安全对我们而言是至高无上的。&
&&&在经历了40个小时的调查后，我们发现一些明星的账户在用户名、密码以及安全问题的设置上存在重大隐患，这极大的降低了数据的安全保护性。这种现象已经成为互联网的通病。目前发现的此次受影响的账户，无一是因为苹果系统方面的漏洞所致，这也包括了iCloud和Find my iPhone两项功能。我们将继续配合司法部门展开调查，以尽快将罪犯绳之以法。&
在事件曝光后，部分报道曾指出是有黑客利用了苹果iPhone设备上&Find My iPhone&这项功能，并通过暴力密码破解的手段从而最终破解明星iCloud账户的。然而苹果的官方声明，很显然否认了其Find My iPhone功能存在漏洞和被黑客利用的可能，并将所有的&问题&归结到受害明星密码设置过分简单等原因上。
苹果指出，在互联网上有部分人会针对女性名流采取社会工程手段以破解其相关账号。因此建议用户不要将账户、密码和安全问题等设置为与个人信息密切相关的内容，以免被&猜到&。
在声明的最后，苹果建议所有用户将密码设置为&高强复杂型密码&，并开启&两步验证&&&即当攻击者利用用户信息来猜测&安全问题&的答案时，还会再要求提供一个恢复密匙以获得最终访问权限。&两步验证&通常在发出初次请求后需等待片刻才可获得恢复密匙。
最新苹果新闻文章
搜索关键词> iCloud账号被盗背后安全隐患 手机商准备不足
iCloud账号被盗背后安全隐患 手机商准备不足
9月1日，众多美国大腕女星像詹妮弗劳伦斯、凯特厄本、爱莉安娜格兰德以及维多利亚嘉丝蒂等人的裸照接连曝光，有消息称原因是有黑客攻击了多个iCloud账号所致。 现在我想谈谈iCloud。我们在这个项目上花了一些时间，我个人对此感到非常兴奋。乔布斯在2011年苹
　　9月1日，众多美国大腕女星像詹妮弗&劳伦斯、凯特&厄本、爱莉安娜&格兰德以及维多利亚&嘉丝蒂等人的裸照接连曝光，有消息称原因是有黑客攻击了多个iCloud账号所致。
　　&现在我想谈谈iCloud。我们在这个项目上花了一些时间，我个人对此感到非常兴奋。&乔布斯在2011年苹果全球开发者大会(WWDC)上如此介绍当天的焦点&&iCloud。当大屏幕上出现大大的&Free&的时候，乔布斯背着双手静静享受着台下的欢呼。乔布斯不会想到，这个让他感到兴奋的产品，几年后让众多美国女星感到愤怒。
　　9月1日，众多美国大腕女星像詹妮弗&劳伦斯、凯特&厄本、爱莉安娜&格兰德以及维多利亚&嘉丝蒂等人的裸照接连曝光，有消息称原因是有黑客攻击了多个iCloud账号所致。目前仍不清楚黑客如何侵入iCloud存储服务获取劳伦斯、厄本以及其他名人的不雅照片，但iCloud的安全性遭到了舆论的广泛质疑。
　　&照片泄露的根本原因或在于云服务的账号被盗。&安全专家安扬对《第一财经日报》记者表示，黑客可以利用&撞库&等方式进行盗号，此外服务提供商的用户数据库泄露也可能导致所有用户都面临盗号风险。
　　而事实上，这已经不是苹果产品第一次涉及&泄露&事件，iOS此前曾被曝涉及多个&秘密后门&。
　　而就在8月中旬，苹果还针对中国用户的数据从国外转存至中国电信云存储发表声明称，云端服务商要加强数据中心的网络安全防护，及时修补漏洞，防止黑客入侵和撞库等盗号攻击。
　　&云端&的漏洞
　　大多数苹果用户一定对iCloud并不陌生，iCloud是苹果在2011年WWDC大会上发布的一项全新云存储服务。该服务为用户提供5GB的免费存储空间，用户可以通过iCloud对设备内的通讯录、邮件、照片等私人数据进行备份。苹果CEO库克曾经表示，iCloud是苹果未来10年战略的一部分。
　　但显然他没有把黑客带来的影响考虑在内。
　　有消息称，黑客利用iCloud存储服务漏洞检索名人不雅照片，而这些照片被贴在了国外的4chan论坛上，黑客试图借此赚取比特币。
　　发布照片的黑客宣称，他拥有劳伦斯60多张自拍照片，当然并非所有都是裸照，还包括穿泳衣的自拍照。
　　而理论上，这种侵犯也可能出现在任何使用iCloud服务的苹果用户身上。
　　&事实上，在大数据时代，保护自己的隐私并不容易，黑客只要愿意，可能会攻破任何他想攻破的东西，只是时间问题。&酷派互联网中心相关负责人王登科告诉《第一财经日报》记者，数据到云端的传输过程，密码传到服务器的过程以及云端存储的过程都有可能遭受到黑客的入侵。
　　从过去到现在，iCloud一直以极其易用著称，但就像其他云端服务业者一样，iCloud&
的数据会同步在各种装置上，一旦装置发生问题，就可能引发隐私泄露的风险。
　　安扬认为，此次账号被盗有三种可能：一是iCloud&
账号使用了常用的注册邮箱和密码，黑客可以利用&撞库&方式进行盗号(黑客入侵一些安全性比较差的网站，窃取用户注册邮箱和密码后，在iCloud等重要网站或服务上尝试登录);二是服务提供商的用户数据库泄露，导致所有用户都面临盗号风险;三是设备或网络环境存在安全问题，比如设备感染木马病毒，或者是在黑客的钓鱼WiFi中登录账号，都有可能导致账号密码泄露。
　　而在此前，已有网友曝光了一个存在于苹果iCloud系统的重大漏洞，这个漏洞可以在没有密码的前提下关闭被盗iPhone的&查找我的iPhone&功能。虽然苹果也开始加强iCloud和Apple&
ID的账户安全，在账户登录过程中添加了双重身份认证，但依然没有避免安全漏洞事件发生。
　　面对照片泄露，劳伦斯的发言人称：&这是公然侵犯隐私的行为。我们已经联系相关部门，那些发布劳伦斯被偷照片的人将被起诉。&
　　移动时代的数据安全
　　越来越多的大公司开始在数据安全领域做持续投入。
　　8月7日，&
Facebook宣布，该公司将收购互联网安全企业PrivateCore，后者可帮助Facebook保护服务器免受&恶意软件、未经授权的物理访问以及恶意硬件设备&的侵袭。Facebook首席安全官乔&苏利文(Joe&
Sullivan)表示：&人们非常关注托付给Facebook等服务的数据安全性。&
　　8月12日，IBM完成收购了云托管安全服务提供商Lighthouse Security&
Group。IBM通过此次收购可提供一套独特的身份和访问管理产品，将经过验证的软件和分析技术与专业托管服务整合在一起，为数字世界里的企业处理复杂的安全问题提供方便。
　　Twitter也在上个月收购了一家小型密码安全创业公司Mitro，来帮助其改善地理定位能力。
　　但现实中，安全漏洞依然不时发生。
　　王登科对《第一财经日报》记者表示：&从目前手机产业的情况看，在面临安全性问题时，大多数手机厂商是准备不足的。&王登科称，信息安全的加密从技术角度来看是成熟的，但如何与自身产品融合还需要一个过程。此外，没有任何东西是绝对安全的，要是想破解密码，需要的只是时间。
　　&从收益来看，安全投入并不直接产生效益。一般手机厂商说要建数据中心，没有上千万很难达成，比如500台服务器，1台5万，就是2500万的成本，还有这个数据中心带来的带宽费用以及流量等都是要考虑的因素。&王登科说。
　　不过，王登科对本报记者说，他认为云端存储依然是未来的趋势，数据到云端的传输过程中，企业可以加密传输渠道，而在云端，企业也可以做特定的密钥来防止黑客入侵。
　　安扬则对记者表示，云端服务商要加强数据中心的网络安全防护，及时修补漏洞，防止黑客入侵和撞库等盗号攻击。此外还需要对重要数据进行加密保护，更重要的是为用户提供更高级别的账号验证机制，访问重要数据推荐使用多重验证，而不仅仅依赖账号密码。
　　&而对于普通网民来说，手机、电脑需要开启安全软件，预防和查杀木马病毒，一些重要账号一定要单独设置密码，并定期更换密码，避免使用他人设备或非可信的WiFi网络登录账号。&安扬告诉本报记者。
------分隔线----------------------------
Copyright &别把iCloud安全不当事！iCloud账号被盗后果盘点 - 推酷
别把iCloud安全不当事！iCloud账号被盗后果盘点
都说iOS系统很安全，这话也对，也不对，因为它是否安全，首先要看是不是越狱过。之所以iOS比起其它手机系统来较为封闭，原因就是这样更能保证系统的安全性。不过很多用户觉得，这样封闭用着不爽，因为很多功能无法实现，所以就给iPhone越狱，越狱后的iPhone可以通过安装插件来实现更多功能。殊不知，这样的做法是要付出“代价”的，而这个代价就是牺牲安全性。
手机信息安全早已不是小事，日前，一则22万iCloud帐户被盗的新闻，再次引爆互联网，那么，是什么原因导致这一事件的发生呢？这还要从抢红包说起。
抢红包助手收集用户iCloud账号密码
自微信推出“红包”功能之后，每逢过节，大家的微信群里就不时会有人发个红包来抢。抢红包本是一种娱乐，但有人却想靠这个“发财”，但又不可能时时刻刻盯着哪个群里又有谁发了红包，于是，一种名为“抢红包助手”的插件就出现了。
微信抢红包助手帮用户自动抢红包
大家都知道iPhone手机所搭载的iOS系统是相对封闭的，如果是不能在苹果官方App&Store上架的应用，就得将iPhone越狱后才能安装，而这些抢红包助手正是以越狱插件的形式安装到用户手机上的。这款助手最早是发布在威锋风的Cydia源上，经威锋技术组在测试中发现，某红包助手类插件会通过后台收集用户的iCloud账号密码，并且有20万左右有效的iCloud账号密码已经被泄漏。
在泄漏的这些账号中，绝大部分都可以用于登录iCloud，只有一小部分用户由于为自己的账号添加了“两步验证”，所以暂时幸免，但账号密码也已经泄漏了。
已发表评论数()
已收藏到推刊！
请填写推刊名
描述不能大于100个字符!
权限设置： 公开
仅自己可见
正文不准确
排版有问题
没有分页内容
视频无法显示
图片无法显示史上最大的iCloud账户被盗事件_教你用苹果手机-爱微帮
&& &&& 史上最大的iCloud账户被盗事件
[新朋友]点上面↑↑蓝字&教你用苹果手机&关注[老朋友]回复：绘本，免费获取520本儿童绘本资源。回复：烘焙，免费获取美食电子书--------------------------不好意思，IT客说的不是去年9.1日的艳照门事件，那个只是小小的一个漏洞而已，IT客这次讲的是——KeyRaider。这是苹果公司历史上规模最大的一次恶意软件侵害事件——超过22.5万个苹果账户的登陆凭证被盗取，数百万用户的信息安全受到威胁。而造成这一切的源头是一个新被发现的恶意软件家族，这个恶意软件家族已被命名为“KeyRaider”，通过越狱软件Cydia的第三方库散播。该软件自称为苹果公司官方App Store的替代品，但KeyRaider已经导致225941个苹果账户的数据遭窃，同时还令部分受影响手机无法使用。上图，虽然大多数人看不懂Cydia应用中隐藏的恶意代码正在给中国及其他至少17个国家的用户带来问题，其中包括法国、俄罗斯、日本和英国等。此外，还有一些受害人的账户进行了未经授权的付费活动。在发现上述未经授权的付费活动后，网络安全公司Palo Alto Networks的研究人员展开了调查。Palo Alto Networks的研究人员在上周日发布文章称：“KeyRaider已成功窃取22.5万多个有效的苹果账户以及数以千计的证书、私人密钥和购物收据。这个恶意软件向其C2(命令与控制)服务器上传了被盗数据，而这个服务器本身就已存在可能曝光用户信息的弱点。”此次攻击的意图是令两种越狱插件的用户可从官方App Store应用商店下载应用，并在实际上并未付费的情况下进行应用内购买。这两个越狱插件会劫持应用购买请求、下载被窃账户或来自C2服务器的购物收据，随后模拟iTunes协议以登陆录苹果公司的服务器和购物应用或用户提出请求的其他物品。这些越狱插件的下载次数已超过2万次，这意味着约有2万民用户正在滥用2.25万个被窃凭证。有些受害人称，他们被盗的苹果账户显示出反常的应用购买历史，有些受害人则称其手机已被“赎回”。当然，如果说苹果账户登录凭证遭到盗窃并不是那么糟糕的话，那么这些数据被上传到了一个包含SQL注入弱点的网站上就很糟糕了。令人警醒的是，大多数受影响用户的电子邮件地址显示其是中国人，或是生活在其他国家的中国人。KeyRaider恶意软件家族曝光给大家上了一课——越狱有风险。大多数安全专家都不建议用户越狱，除非越狱操作是由具有高度专业知识的人进行操作的。点击左下角【阅读原文】查看更多
点击展开全文
教你最实用的苹果iPhone手机使用技巧，分享有趣、有料、有用的手机资讯。
您的【关注和订阅】是作者不断前行的动力
本站文章来自网友的提交收录，如需删除可联系QQ ，
(C)2014&&版权所有&&&|&
京ICP备号-2&&&&京公网安备34来龙去脉: 22万个iCloud账户被盗事件详解
作者：佚名
字体：[ ] 来源：互联网 时间：09-01 08:48:13
之前小编为大家报道一篇文章，就是国内22万iPhone越狱用户iCloud账号被多款内置后门iOS插件盗取，这个恶意软件KeyRaider令部分受影响手机无法使用，直到用户支付“赎金”时为止。目前，已经对这事展开调查，下面我们一起来看看吧
iCloud被大规模盗号再引担忧，事情的始末又是怎样的呢？近日，由威锋技术组发现疑似 iOS 插件导致 22 万个 iCloud 泄露的消息让越狱安全再次被热论，安全员 Claud Xiao 对此次 iCloud 账号泄露事件以及盗号插件进行了更详细的分析，下面就让我们了解一下事情的来龙去脉。
一个新被发现的恶意软件家族令越狱版iPhone遭到&洗劫&，超过22.5万个苹果账户的登录凭证被窃取，这是苹果公司历史上规模最大的恶意软件侵害事件之一。
这个恶意软件家族已被命名为&KeyRaider&，通过越狱软件Cydia的第三方库散播，该软件自称为苹果公司官方App Store由应用商店的替代品。Cydia应用中隐藏的恶意代码正在给中国及其他至少17个国家的用户带来问题，其中包括法国、俄罗斯、日本和英国等。
KeyRaider不仅已经导致225941个苹果账户的数据遭窃，同时还令部分受影响手机无法使用，直到用户支付&赎金&时为止。此外，还有一些受害人的账户进行了未经授权的付费活动。
在发现上述未经授权的付费活动后，网络安全公司Palo Alto Networks的研究人员与中国iPhone社区威锋网的会员联手展开了调查。
Palo Alto Networks的研究人员在上周日发布博文称：&KeyRaider已成功窃取22.5万多个有效的苹果账户以及数以千计的证书、私人密钥和购物收据。这个恶意软件向其C2(命令与控制)服务器上传了被盗数据，而这个服务器本身就已存在可能曝光用户信息的弱点。&
此次攻击的意图是令两种越狱插件的用户可从官方App Store应用商店下载应用，并在实际上并未付费的情况下进行应用内购买。这两个越狱插件会劫持应用购买请求、下载被窃账户或来自C2服务器的购物收据，随后模拟iTunes协议以登陆录苹果公司的服务器和购物应用或用户提出请求的其他物品。这些越狱插件的下载次数已超过2万次，这意味着约有2万民用户正在滥用2.25万个被窃凭证。
有些受害人称，他们被盗的苹果账户显示出反常的应用购买历史，其他人则称其手机已被&赎回&。
如果说苹果账户登录凭证遭到盗窃并不是那么糟糕的话，那么这些数据被上传到了一个包含SQL注入弱点的网站上就很糟糕了。大多数受影响用户的电子邮件地址显示其是中国人，或是生活在其他国家的中国人。
KeyRaider恶意软件家族曝光提供了一个&警世故事&，让用户了解到越狱版iPhone的风险。大多数安全专家都不建议用户越狱，除非越狱操作是由具有高度专业知识的人进行操作的。
以往的一些 iPhone 勒索往往是通过 iCloud 服务远程控制 iOS 设备。在一些情况下可通过重置账户密码来重新获得对 iCloud 的控制。但 KeyRaider 不同，它可以本地禁用任何类型的解锁操作，无论你是否输入正确的密码。此外它同样可以通过偷取的证书和私人钥匙向你的设备发送信息来勒索用户，让你付款然后可能会帮你解锁。因为这个恶意软件的特殊性，之前可用的一些应对办法也不再适用。
一些开发者可能会为自己的应用买单，从而让自己的应用能够在 App Store 中获得更好的位置。使用盗取的数据，不法分子可以在 iOS 设备上安装应用来增加下载量，也就是俗称的&刷榜&。
不法分子可以使用偷来的账户从 App Store 购买付费应用，这些支出是由&受害人&承担的，但钱将会支付给苹果并有部分返还给开发者，某些开发者就可以和不法分子分享收入，当然并不是所有的开发者都会立心不良。
有效的苹果账户用户名可以被单独出售，用于垃圾邮件的投放，相信这个大家都已经非常熟悉了。
拥有苹果的账户和密码，就意味着不法分子可以通过 iCloud 服务来获得你 iOS 设备中的其它信息。
这些被盗的账户还可能流入另一个市场，苹果的安全机制要求你在抹除和二次销售设备的时候要验证 Apple ID。
其它未来的威胁
结合 iCloud 的个人数据，被盗的账户可能还会被用来进行社交工程（一个有经验的黑客能会通过收买或欺骗获得机密数据，这种常见的攻击方式被称为社会工程）、欺诈和有目标性的攻击。
相关阅读：
大家感兴趣的内容
12345678910
最近更新的内容