美国的艳照门事件又有了最新进展。今天苹果回应称 iCloud 没问题，攻击有针对性，但是并没有给出黑客进入iCloud 账户的具体详情。外媒“连线 Wired”杂志的撰稿人 Andy Greenberg 进行了调查，试图找出黑客如何访问和偷窃艳照的方法。


    Andy Greenberg 前往艳照最早流出的 Anon-IB 论坛，这也是一个匿名的图片论坛。他发现，黑客公开讨论如何使用为执法部门和政府机构开发的软件，以利用漏洞。这个软件是 ElcomSoft Phone Password Breaker (EPPB)，使得黑客能够输入艳照门受害女星的用户名和密码，访问她全部的 iPhone, iPad 备份文件。

    “用这个 script 脚本 (iBrute 软件) 破解她的密码，用 EPPB 下载备份文件。“ 一个匿名黑客在 Anon-IB 上这样教导新来的菜鸟黑客。”然后把你的成果发在这里。;-)”

    MacX 今年六月便已经报道过涉案软件 EPPB，无需密码就能访问 iCloud，当时还呼吁，如此在网络上公开出售暴力破解，苹果该出招设防。

    黑客获得女星的 iCloud 用户名和密码可以进入 iCloud 账户，但是用 EPPB 就能下载完整的备份。这或许可以解释为什么一些女星数年以前就删除艳照，但是这些照片再度出现在艳照门事件当中。

    连线杂志还采访了安全专家 Jonathan Zdziarski。得知一些艳照的 metadata 数据带有 EPPB 的痕迹，也可能有 iBrute 软件的痕迹。iBrute 软件是黑客用来利用“查找我的 iPhone”漏洞，无限次尝试猜测密码。苹果现在已经堵上这个漏洞，并且表示 iBrute 并不是本次攻击的因素。

    外媒 TechCrunch 还指出，EPPB 工具能够绕过 iCloud 的两步验证保护，下载 iOS 设备的备份文件，因为 iCloud 两步验证保护并不覆盖 iCloud 备份文件或者照片流。苹果的新闻稿曾经指出，两步验证能够防止类似本次艳照门的攻击尝试。现在看起来，启用两步验证并不能阻止 EPPB 这样的工具下载 iCloud 备份。



    EPPB 软件的执法部门版本价格 399 美元，公开出售，不需要买家提供任何身份、职位等证明，而且还出售额外的密码词典以加速密码破解的速度。虽然价格偏高，但是软件可以通过 BitTorrent 方式下载。EPPB 开发公司的 CEO 早在 2013 年 5 月就公开批评 iCloud 备份没有两步验证保护，所以这个漏洞已经存在至少一年多时间了。





[ 本帖最后由 zhenshibangde 于 2014-9-4 10:08 编辑 ]

国外的这帮黑客还是挺有共享精神的，不过这个漏洞，我只能说苹果做的不到位啊

这次大爆料啊。冠希哥只是个硬盘，这下可是ICLOUD服务器了，苹果倒大霉了这次，如果在中国，一个东西有问题，大伙骂完接着用，在米国就涉及到法律等一系列问题了。

这下乐子大了，ios本来就是个封闭的系统，谁知道它里面留有多少后门，事情出了，苹果也坐不住了

高手。如果技术不过关，也可购买软件，按操作提示，初步计算机知识即可胜任，门槛很低了，暴力破解也得用户设置强密码和绑定手机，并及时删除备份。

icloud安全漏洞艳照门一出，苹果股价跌了4%，报收 98.94 美元每股。苹果新品就快发布了，在这个时候爆出艳照的事，说不定就是三星一手策划的。因为我深深相信三星做事是没有下限的，这样的事三星能干出。

说明美国的法律有漏洞，比起·斯诺登事件，苹果艳照门小巫见大巫！

苹果这次出了这样的问题，看来以后用他家的icloud要小心了，还好一般不放有隐私的东西

现在看来，没有任何事情是完全绝对的，只要有人愿意搞，总是有不安全的因素存在，苹果也不例外

我想到了城管专用的一个软件：呼死你，本来是挺好的一个对付小广告的东东，后来却被乱用了，唉。