Apple ID安全性详解 苹果做的还远远不够

就在不久之前，国外著名科技网站The Verge曝光了苹果的一个十分弱智的安全漏洞，该安全漏洞基于URL破解，它让任何人都可以在苹果的iForgot密码重置系统上通过电子邮件地址和生日日期这两个信息来重新设置你的苹果账号密码，也就是Apple ID密码。随后，苹果公司迅速关闭了相应的网页，直至该安全漏洞得到了妥善的处理。

一般来说，出现这种情况人们会认为，这似乎只是一个非常普通的、无伤大雅的软件安全问题，或者应该是服务器设置有误。这类事情我们见多了，几乎每个星期都会遇到几次。有人会说，反正这又不会造成任何财产上的损失，因为苹果公司之前增加了一步安全认证，现在是双保险了。甚至还有人会说，苹果在大多数用户发现这个问题的时候就已经将相关问题解决了，这就已经很不错了。

事实上并不是这样的。这些辩解理由非但不能替苹果开脱责任，反而证明了苹果现在自身存在的一个极大的问题，那就是他们在从一个出色的硬件设计、制造公司向网络云服务公司转型的道路上，走得并不顺利，甚至可以说是一路颠颠簸簸。

而这对于苹果来说十分尴尬。就拿Apple ID这件事情来说，这个东西已经不再是一个在iPhone上下载、升级应用程序时所要输入的账号和密码了，现在，我们可以通过Apple ID来进入苹果的整个生态系统，它将苹果的硬件设备、软件系统、应用商店和其他线上云服务连接在一起。对于这么重要的一个角色，苹果的状况很难令人满意。

伤不起的iForgot安全漏洞：

约翰霍普金斯大学教授、密码学家马修格林曾经这样描述苹果的iForgot系统，他说：苹果的iForgot服务相当于苹果整个云服务或是说生态系统的总管家，通过它，你可以找回任何一间房门的钥匙。iForgot是苹果的终极密码重设器。

马修格林教授表示：“Apple ID已经成为用户通往苹果整个云服务体系的必经也是唯一通道，通过Apple ID，我们可以接触到所有存储在苹果iCloud云端服务的数据，包括电话号码、电子邮件等等。换句话说，通过iForgot重置Apple ID的密码，我们就可以完全地掌握别人的账号中储存的私人信息了。”

他还强调：“如果你任职于苹果公司的安全团队，并且有权决定公司的钱花在什么地方的话，那么你一定要在iForgot系统上多下点功夫。你至少需要两个团队来审视自己的安全系统，一个是公司内部的审核团队，另一个来自外部的第三方团队更为重要，他们要对苹果的安全系统进行定期的评估。总之，事实上这次苹果在Apple ID上的安全漏洞愚蠢得令人难以接受，至少我不认为苹果会犯下这种低级错误。”

不过苹果似乎即便是在发现了该安全漏洞以后，都搞不清楚它们的安全系统到底有多么得脆弱。国外另一家媒体iMore在随后的新闻中指出，面对这个关乎Apple ID的安全漏洞，苹果最开始只是在iForgot页面上挂起了一个页面维修中的标志，并关闭了重置密码的入口，以便防止普通用户利用该安全漏洞进入他人账户。而这种做法对于那些稍微有点技术含量的黑客来说却根本构不成什么障碍。这些黑客可以通过输入一个网址来欺骗服务器，让服务器认为页面仍然在处理密码重置服务。这种做法甚至可以绕过苹果密码重置步骤中的安全问题系统，因为服务器会认为你已经成功回答了两个安全问题。

直到后知后觉的苹果突然反应过来这样还是不行，才在该安全漏洞被彻底解决之前，完全关停了iForgot服务。

而另一方面，苹果的补救措施让我们忍无可忍。按照常理，苹果应该在该安全漏洞被被曝光后迅速将早就该有、但是最近才推出的两步验证措施推广开来。这个两步安全验证要求接入Apple ID的人同时拥有注册的苹果设备和Apple ID密码这两个信息，可以有效防止账号的盗用。然而悲剧的事情发生了，即便是在iForgot安全漏洞被曝光后，苹果的两步安全验证系统也只能在美国、英国、澳大利亚、爱尔兰、新西兰使用。一点不夸张，只限于上面的这五个国家。

所以说，说了这么多我们只能证明一点，那就是苹果对于这次安全漏洞危机的处理并不理想，不仅不够认真，马马虎虎，而且反应迟钝，对于两步安全验证的不公平待遇，我们甚至真是懒得再说些什么了。这事儿，苹果不仅把自己搞得一团糟，还让用户们面对这样的烂摊子，确实令人不爽。