几天前的iCloud上的上百明星不雅照被外泄事件曾闹得沸沸扬扬,有关泄露的原因也存在着包括利用Find My Phone漏洞进行暴力密码攻击在内的多种推测,苹果随后又进行过澄清说iCloud并未被攻破。FBI目前正在对事件进行调查,此事的元凶、获取手段以及谋划时间等尚未有定论。
而据连线的报道,安全研究人员Jonathan Zdziarski经过对Kate Upton外泄的照片元数据进行分析后指出,这些照片似乎是利用Elcomsoft Phone Password Breaker(EPPB)软件获取的。
而EPPB这款软件本来是提供给执法部门使用的,利用这款软件就可以把iPhone上的所有数据备份全部下载下来,不过前提是必须获取用户的iCloud ID和密码。尽管苹果声明中否认了Find My Phone存在漏洞,但值得注意的是,在事件发生后不久苹果才打上了相应补丁。所以,黑客利用iBrute对用户密码进行暴力破解的可能性是存在的。如果部分明星的密码设置得过于简单的话,攻击的成功率会更高。
Elcomsoft的这款桌面软件可以把整个iPhone或iPad备份到一个文件夹上。也就是说,黑客捕获到的数据可能远不止照片而已,甚至还包括视频、应用数据、通信录及短信等。如果黑客把这些备份在恢复到一台新的iPhone手机上,就可以更方便地访问原用户的所有信息。
Elcomsoft是一家俄罗斯的安全软件公司,这款软件的目标买家本来应该是执法部门,但是这款售价为399美元并不需要认证信息即可购买,而且网上也有盗版,所以获得这一软件并不难。
事件时间表:
8月26日 图片讨论组AnonIB上有人声称从iCloud上拿到了Jennifer Lawrence的裸照可出售,引发网络传播
8月31日 图片网站4Chan上爆出了涉及包括Lawrence、Mary E. Winstead、Kate Upton及McKayla Maroney等在内的上百明星的图片泄露清单
在社交网络和Reddit等新闻网站的推波助澜下,事件迅速发酵,涉事明星很快做出回应。有些人在承认照片外泄的同时指责肇事者,有些则否则了照片的真实性。
9月1日 苹果修复一个黑客可用于暴力破解密码的漏洞
9月2日 苹果确认部分名人iCloud账号被黑,但称iCloud本身并未被破解。