科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全苹果iCloud安全漏洞:缺乏双因素认证可致远程数据下载

苹果iCloud安全漏洞:缺乏双因素认证可致远程数据下载

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

臭名昭著的俄罗斯黑客Vladimir Katalov对外界宣称,发现苹果iCloud可接受未授权的下载访问,iCloud数据保存在微软和Amazon服务器上。

来源:ZDNet安全频道 2013年10月23日

关键字: iCloud 苹果 安全漏洞 双因素认证 热点追踪

  • 评论
  • 分享微博
  • 分享邮件

ZDNET安全频道 10月23日 国际新闻:俄罗斯安全研究员Vladimir Katalov分析了苹果的iCloud和Find My Phone协议,发现二者都未受到双因素认证的保护,而在用户完全不知情的情况下,就可以远程下载iCloud数据。

 苹果iCloud安全漏洞:缺乏双因素认证可致远程数据下载

上周四在马来西亚吉隆坡举行的黑客安全大会上,Vladimir Katalov通过“破坏及分析苹果iCloud协议”的演讲告诉与会者,iCloud的信息和数据并不是向苹果对外界宣称的那样,完全不能访问。

Katalov的发现佐证了他原来强调的说法,他曾表示苹果可以访问那些自己宣称无法访问的数据。

恶意攻击者只需要一个苹果ID和密码执行远程iCloud备份——都不需要连接用户的设备。

他解释称,用户没法加密自己的iCloud备份。

数据被加密,他解释道,但是密钥和数据是一起保存的。Katalov补充道,密钥在苹果公司手上。

Katalov对至顶网说,在一连串的安全连锁事件后,苹果的iCloud数据还保存在微软和Amazon服务器上,对此他很震惊。

Katalov的演讲指出,由于苹果为第三方存储供应商提供了完整的请求信息,所以苹果可以把这些数据提供给执法部门。

在苹果七月就NSA棱镜门监控事件的发表的公告上,苹果否认设置了任何后门供政府机构访问服务器。苹果明确表示,“苹果不会让执法部门访问其服务器。”

当用户执行iCloud备份下载的时候,他们收到了一封邮件,通知用户进程是完整的。

Katalov 发现,执行远程下载的时候,用户不会接收到通知邮件。如果有人通过第三方远程从iCloud访问和下载用户数据,用户全然不知。

Katalov的努力意味着有人首次分析并向公众发布了苹果秘密iCloud协议的。

Vladimir Katalov偷偷潜入越狱后的苹果设备,分析了苹果iCloud和Find My Phone——不过,他也解释称,在没被越狱的手机上,照样可以利用他发现的远程备份协议漏洞。

他在上周四的演讲中告诉与会者,分析数据流量并非难事。

苹果的iCloud数据由用户的数据备份构成。包括文档,Dropbox文件和敏感用户数据。

在他的分析里,Katalov发现,iCloud文件是作为容器来保存——plist和content——以化整为零的映射模式进行(把文件转化成较小的数据块)。

但是他发现,苹果的双因素认证,也就是用户名和密码之外的安全层,并未用于iCloud备份(或Find My Phone)。

苹果iCloud安全漏洞:缺乏双因素认证可致远程数据下载

苹果的两步认证法不能保护iCloud备份,Find My Phone的数据及保存在云中的文档。Katalov在博客中进一步做了解释,参看“苹果的双因素认证和iCloud。”(http://blog.crackpassword.com/2013/05/apple-two-factor-authentication-and-the-icloud/ )

Katalov向黑客安全大会的与会者展示了,如何用一些简单的询问就获取认证令牌,从而访问iCloud备份,备份ID和密钥。然后,就可以从Windows Azure或Amazon AWS下载文件。

至顶网在其演讲结束后,对他进行了采访以获取更多信息。

当问及是否已经把这个发现提交给苹果时,他解释称,自己的发现是协议分析结果——并不是曝光一个漏洞。

另一方面,iCloud的安全问题属于“特性,并非漏洞”。

苹果iCloud安全漏洞:缺乏双因素认证可致远程数据下载

当至顶网询问Katalov是否有办法解决这一问题时——如将双因素认证扩展到iCloud和Find My Phone服务——他摇头称,苹果的双因素认证部署只能算“后知后觉”。

Katalov告诉至顶网,用户想保护iCloud数据,最好的办法就是别用iCloud。

不过,Katalov告诉我们,他仍然将苹果iCloud作为备份服务使用。“虽然它并不太安全,但我仍在安全和隐私之间取舍,”他说。

由于远程攻击者需要苹果用户的ID和密码,所以大多数恶意实体还碰不到数据。

但是,获取苹果用户ID和密码并非不可能的事情——除了邮件钓鱼技巧以外(此法比大多数看似可信的方法都有效)。社交工程技巧非常普遍,而且非常有效。

最近的一个例子是,挪威苹果用户的ID数据接二连三被盗。在今年二月,有大量少女被一群男生锁定,这些男生通过推测出了这些女生的用户ID和密码恢复信息,随后进入了这些女孩的苹果账户,下载了这些女生的相片和数据——最后还拿到网上售卖。

Katalov在黑客安全大会的演讲上,告诉听众,他很惊讶地发现,当用户关闭定位追踪服务的时候,用户的位置信息仍然会保存三到六个小时。

我们想知道,是否这就是Katalov提出,即将分析Touch ID协议和存储的原因——他对至顶网说,是因为iOS7被破解。

“苹果称从未发送过信息,也从未将信息复制到本地(存储)”他补充道,“但我并不确定。”

至顶网询问Katalov,为什么在苹果特别声明没有发送Touch ID信息后,会有这种感觉。

Katalov眼中闪烁着光芒,露出了男孩子般的微笑。他用浓重的俄式口音重复道“别相信任何人”。

至顶网页联系了苹果,希望苹果公司发表一下意见,如果苹果给出任何回应,我们将做出更新。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章