http://goo.gl/WeR1cr
作者 Dindo Lin | 发布日期 2014 年 09 月 26 日 | 分类 Apple , 资讯安全
从 iCloud 泄漏的明星裸照事件还在不断延烧,即使苹果不断保证自己的资安政策,但从
最近流出的一封资安研究员与苹果公司的信件往来,却透露出苹果早就已经知道 iCloud
漏洞,却没有及时修复。
根据外媒 Daily Dot 报导,伦敦工程师伊伯拉希‧巴利克(Ibrahhim Balic)早在六个
月前,就已经寄信给苹果,表示 iCloud 帐号有可以透过暴力破解密码的漏洞,且这个漏
洞却在明星裸照泄漏事件后才修复,因此也被认为是这次 iCloud 帐号遭骇的主因。
就在这封 3 月 26 日的电子邮件中,巴利克表示骇客可以透过无数次输入密码的“暴力
破解”方式,破解 iCloud 密码,巴利克自己就在同一个帐号中尝试输入 20,000 次的错
误密码,但却没有任何事情发生,通常来说,输入一定次数的错误密码后,就应该要有暂
时阻止输入密码的机制,但苹果当时并没有类似的机制。(附注:英文并非巴利克的母语
。)
http://i.imgur.com/0qNSdhJ.png
即使到了 2014 年 5 月 26 日,苹果仍然与巴利克有信件往来,但官方人员仍不断质疑
巴利克所发现的问题。
http://i.imgur.com/LCix6ym.png
http://i.imgur.com/70SIaYy.png
但苹果方面并未承认这个漏洞与这次的明星裸照泄露事件有关,巴利克表示,苹果的开发
人员只是要求他提供更多的资料,却没有真正重视这个问题,如果他们能及早修复这个问
题,或许这次的裸照事件就不会发生。
不过,苹果至今不认为这次 iCloud 裸照泄露事件,与 iCloud 密码暴力破解有任何关联
性。
感想:
虽然有点事后诸葛的感觉,但是苹果这种不出事就当作没发生过的态度,就算是库克
也不会同意吧?