至顶网›安全频道 ›网络安全›苹果iCloud安全漏洞：缺乏双因素认证可致远程数据下载

苹果iCloud安全漏洞：缺乏双因素认证可致远程数据下载

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

臭名昭著的俄罗斯黑客Vladimir Katalov对外界宣称，发现苹果iCloud可接受未授权的下载访问，iCloud数据保存在微软和Amazon服务器上。

来源：ZDNet安全频道 2013年10月23日

ZDNET安全频道 10月23日国际新闻：俄罗斯安全研究员Vladimir Katalov分析了苹果的iCloud和Find My Phone协议，发现二者都未受到双因素认证的保护，而在用户完全不知情的情况下，就可以远程下载iCloud数据。

上周四在马来西亚吉隆坡举行的黑客安全大会上，Vladimir Katalov通过“破坏及分析苹果iCloud协议”的演讲告诉与会者，iCloud的信息和数据并不是向苹果对外界宣称的那样，完全不能访问。

Katalov的发现佐证了他原来强调的说法，他曾表示苹果可以访问那些自己宣称无法访问的数据。

恶意攻击者只需要一个苹果ID和密码执行远程iCloud备份——都不需要连接用户的设备。

他解释称，用户没法加密自己的iCloud备份。

数据被加密，他解释道，但是密钥和数据是一起保存的。Katalov补充道，密钥在苹果公司手上。

Katalov对至顶网说，在一连串的安全连锁事件后，苹果的iCloud数据还保存在微软和Amazon服务器上，对此他很震惊。

Katalov的演讲指出，由于苹果为第三方存储供应商提供了完整的请求信息，所以苹果可以把这些数据提供给执法部门。

在苹果七月就NSA棱镜门监控事件的发表的公告上，苹果否认设置了任何后门供政府机构访问服务器。苹果明确表示，“苹果不会让执法部门访问其服务器。”

当用户执行iCloud备份下载的时候，他们收到了一封邮件，通知用户进程是完整的。

Katalov 发现，执行远程下载的时候，用户不会接收到通知邮件。如果有人通过第三方远程从iCloud访问和下载用户数据，用户全然不知。

Katalov的努力意味着有人首次分析并向公众发布了苹果秘密iCloud协议的。

Vladimir Katalov偷偷潜入越狱后的苹果设备，分析了苹果iCloud和Find My Phone——不过，他也解释称，在没被越狱的手机上，照样可以利用他发现的远程备份协议漏洞。

他在上周四的演讲中告诉与会者，分析数据流量并非难事。

苹果的iCloud数据由用户的数据备份构成。包括文档，Dropbox文件和敏感用户数据。

在他的分析里，Katalov发现，iCloud文件是作为容器来保存——plist和content——以化整为零的映射模式进行（把文件转化成较小的数据块）。

但是他发现，苹果的双因素认证，也就是用户名和密码之外的安全层，并未用于iCloud备份（或Find My Phone）。

苹果的两步认证法不能保护iCloud备份，Find My Phone的数据及保存在云中的文档。Katalov在博客中进一步做了解释，参看“苹果的双因素认证和iCloud。”（http://blog.crackpassword.com/2013/05/apple-two-factor-authentication-and-the-icloud/ ）

Katalov向黑客安全大会的与会者展示了，如何用一些简单的询问就获取认证令牌，从而访问iCloud备份，备份ID和密钥。然后，就可以从Windows Azure或Amazon AWS下载文件。

至顶网在其演讲结束后，对他进行了采访以获取更多信息。

当问及是否已经把这个发现提交给苹果时，他解释称，自己的发现是协议分析结果——并不是曝光一个漏洞。

另一方面，iCloud的安全问题属于“特性，并非漏洞”。