Apple ID安全性详解 苹果做的还远远不够
就在不久之前,国外著名科技网站The Verge曝光了苹果的一个十分弱智的安全漏洞,该安全漏洞基于URL破解,它让任何人都可以在苹果的iForgot密码重置系统上通过电子邮件地址和生日日期这两个信息来重新设置你的苹果账号密码,也就是Apple ID密码。随后,苹果公司迅速关闭了相应的网页,直至该安全漏洞得到了妥善的处理。
一般来说,出现这种情况人们会认为,这似乎只是一个非常普通的、无伤大雅的软件安全问题,或者应该是服务器设置有误。这类事情我们见多了,几乎每个星期都会遇到几次。有人会说,反正这又不会造成任何财产上的损失,因为苹果公司之前增加了一步安全认证,现在是双保险了。甚至还有人会说,苹果在大多数用户发现这个问题的时候就已经将相关问题解决了,这就已经很不错了。
事实上并不是这样的。这些辩解理由非但不能替苹果开脱责任,反而证明了苹果现在自身存在的一个极大的问题,那就是他们在从一个出色的硬件设计、制造公司向网络云服务公司转型的道路上,走得并不顺利,甚至可以说是一路颠颠簸簸。
而这对于苹果来说十分尴尬。就拿Apple ID这件事情来说,这个东西已经不再是一个在iPhone上下载、升级应用程序时所要输入的账号和密码了,现在,我们可以通过Apple ID来进入苹果的整个生态系统,它将苹果的硬件设备、软件系统、应用商店和其他线上云服务连接在一起。对于这么重要的一个角色,苹果的状况很难令人满意。
伤不起的iForgot安全漏洞:
约翰霍普金斯大学教授、密码学家马修格林曾经这样描述苹果的iForgot系统,他说:苹果的iForgot服务相当于苹果整个云服务或是说生态系统的总管家,通过它,你可以找回任何一间房门的钥匙。iForgot是苹果的终极密码重设器。
马修格林教授表示:“Apple ID已经成为用户通往苹果整个云服务体系的必经也是唯一通道,通过Apple ID,我们可以接触到所有存储在苹果iCloud云端服务的数据,包括电话号码、电子邮件等等。换句话说,通过iForgot重置Apple ID的密码,我们就可以完全地掌握别人的账号中储存的私人信息了。”
他还强调:“如果你任职于苹果公司的安全团队,并且有权决定公司的钱花在什么地方的话,那么你一定要在iForgot系统上多下点功夫。你至少需要两个团队来审视自己的安全系统,一个是公司内部的审核团队,另一个来自外部的第三方团队更为重要,他们要对苹果的安全系统进行定期的评估。总之,事实上这次苹果在Apple ID上的安全漏洞愚蠢得令人难以接受,至少我不认为苹果会犯下这种低级错误。”
不过苹果似乎即便是在发现了该安全漏洞以后,都搞不清楚它们的安全系统到底有多么得脆弱。国外另一家媒体iMore在随后的新闻中指出,面对这个关乎Apple ID的安全漏洞,苹果最开始只是在iForgot页面上挂起了一个页面维修中的标志,并关闭了重置密码的入口,以便防止普通用户利用该安全漏洞进入他人账户。而这种做法对于那些稍微有点技术含量的黑客来说却根本构不成什么障碍。这些黑客可以通过输入一个网址来欺骗服务器,让服务器认为页面仍然在处理密码重置服务。这种做法甚至可以绕过苹果密码重置步骤中的安全问题系统,因为服务器会认为你已经成功回答了两个安全问题。
直到后知后觉的苹果突然反应过来这样还是不行,才在该安全漏洞被彻底解决之前,完全关停了iForgot服务。
而另一方面,苹果的补救措施让我们忍无可忍。按照常理,苹果应该在该安全漏洞被被曝光后迅速将早就该有、但是最近才推出的两步验证措施推广开来。这个两步安全验证要求接入Apple ID的人同时拥有注册的苹果设备和Apple ID密码这两个信息,可以有效防止账号的盗用。然而悲剧的事情发生了,即便是在iForgot安全漏洞被曝光后,苹果的两步安全验证系统也只能在美国、英国、澳大利亚、爱尔兰、新西兰使用。一点不夸张,只限于上面的这五个国家。
所以说,说了这么多我们只能证明一点,那就是苹果对于这次安全漏洞危机的处理并不理想,不仅不够认真,马马虎虎,而且反应迟钝,对于两步安全验证的不公平待遇,我们甚至真是懒得再说些什么了。这事儿,苹果不仅把自己搞得一团糟,还让用户们面对这样的烂摊子,确实令人不爽。
您可能也感兴趣:
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。
想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
中科曙光董事长收到证监会立案告知书
外媒揭露苹果手机回收商私自将报废手机销往中国
刘强东会亲自开播吗?
5499元起!华为Pura70系列先锋计划开售
iPhone 16 Pro影像规格曝光:超广角将升级至4800万像素
一季度全球智能手机出货近2.9亿部 小米传音出货量同比均有大增
花旗预计“每卖一台SU7亏6800元” 小米高管回应:信息偏差较大
苹果将允许用户和第三方维修商使用二手正品零部件维修iPhone
苹果市值一夜暴涨8113亿元 据称拟升级整个Mac产品线
更多
- OceanBase 4.3发布:打造PB级实时分析数据库 可实现秒级实时分析
- 延迟降低2倍!英特尔披露至强6处理器针对Meta Llama 3模型的推理性能
- 中科曙光董事长收到证监会立案告知书
- 外媒揭露苹果手机回收商私自将报废手机销往中国
- 润开鸿发布鸿蒙应用产品 蚂蚁数科mPaaS提供支持
- 2023年营收165亿元,三七互娱拟提升分红频次至一年四次
- “AI换脸”骗走2亿港元 专家支招如何防范
- 媲美GPT4的开源模型Llama 3怎么用?亚马逊云科技官方教程已上线
- 谷雨“龙井”奶茶外卖量涨5倍,茉莉奶白等多品牌联合饿了么上线“春日收官”新品
- 《热辣滚烫》获北影节“春节档特别荣誉” 出品人侯晓楠:海外票房已破700万美元
更多
- 消息称特斯拉下周将宣布在印度投资 最多30亿美元
- 特斯拉全球裁员不会影响墨西哥超级工厂建设 当地称正按计划推进
- Meta推出Llama 3大模型 在集成近25000块英伟达H100计算集群上训练
- 消息称苹果12.9英寸版iPad Air将采用mini-LED显示屏 在5月初推出
- 从5nm制程工艺来看 台积电3nm工艺或要明年才能成为最大营收来源
- 台积电一季度营收188.7亿美元 预计二季度会更高
- 分析师称iPhone 17 Plus屏幕将略小于iPhone 15 Plus和iPhone 16 Plus
- 苹果有意代工商在印尼建厂 CEO库克称将评估可行性
- SK海力士Q1营收有望超过12万亿韩元 营业利润重回万亿韩元之上
- 消息称苹果有意在印度生产iPhone摄像头部件 同当地厂商有过接触