趋势网(微博)讯:如果你觉得你的图片、联系人和其它数据真的可以通过苹果公司三月份加入到其iCloud中的两步验证保护服务得以保护的话,你还是三思吧。根据莫斯科的安全研究人员,这项服务有助于防止用你的苹果ID购物时免受欺诈,但它一点都不会提高你所存文件的安全性。
很明显,只要锁定密码足够强大和保密,iCloud的数据仍然是安全的。而当你的账号凭据被盗用时,那恰恰可以用上苹果的双重验证进行保护,但没什么能够阻止入侵者访问你在iCloud账号所储存的数据。破解密码复杂软件开发商ElcomSoft的研究人员于周四发表了博客文章对此进行了评估。
ElcomSoft公司总裁Vladimir Katalov写道:“根据该项服务目前的情况,苹果的双重身份认证并不会阻止任何人在另一台(不可靠的)设备中恢复iOS备份。另外,更重要的问题是,它不适用于iCloud备份,它允许知道用户苹果ID和密码的任何人下载和访问存储在iCloud中的信息。这是很容易验证的:仅需登录你的iCloud账号,你就可以得到储存在内的完整信息,无需额外的登录信息。”
他还写到:
“ElcomSoft公司认为,从安全角度来看这种做法不正确。过去,iCloud已经被利用了(见《挪威少年黑客iCloud帐户》),而在将来也会继续如此”。
比较合理的是,苹果公司的常见问题中并未提到或暗示双重验证这项新措施会保护用户数据。尽管如此,它是在亚马逊和苹果在线服务的安全漏洞被黑客利用后的几个月推出的,考虑到这个推出时机,如果一些客户会相信如果一个黑客能够利用类似的漏洞,那么这些措施可防止同样的事情再次发生在他们身上,这并不出乎意料。
根据ElcomSoft 的Katalov,新措施不会防止像霍南那种黑客攻击。虽然它可以阻止攻击者重新设定用户的iCloud密码,但无法避免攻击者复制或删除账号储存的文件。一旦锁定密码被盗用(再次说明,这恰恰是双重身份认证试图解决的情况),攻击者就可以在另一台设备中恢复iPhone或iPad的备份数据。除非苹果公司有未曾提及的暗中保护,不然攻击者就可以控制大量文件,包括永远删除那些文件。这听起来很像去年黑客袭击马特•霍南的那种情况。
挪威奥斯陆的安全顾问Thorsheim在发送的邮件中说, “对于我来说,苹果提供的2FA[双重身份验证]解决方案并不会真正为你的文件文档等提高安全性,它只能避免他人未经授权进行金钱交易并更改你的帐户。大家完全没有意识到这点,当人们通过了2FA验证把敏感和秘密的文件上传至iCloud时,它所提供的只是一个虚假的安全层。”
他还提到:
“人们期待2FA解决方案会提高额外的安全性保护他们的数据,但与Dropbox和谷歌相反的是,苹果并没有真正做到这一点。这是目前为止推出过“最弱”的双重验证保护,所谓的额外安全也只是人们的假想罢了,这可能会导致危险的后果。”
进
店
进
店
进
店
