iCloud艷照門(mén)背后角力

實(shí)習(xí)生 / 陳文希

商業(yè) / 大事件

iCloud艷照門(mén)背后角力

實(shí)習(xí)生 / 陳文希

不斷出現(xiàn)的網(wǎng)絡(luò)安全漏洞，釀成互聯(lián)網(wǎng)公司和黑客無(wú)止境的魔道對(duì)手戲。

美國(guó)時(shí)間2014年8月31日，奧斯卡影后詹妮弗·勞倫斯、超模凱特·厄普頓等女星私密照片泄露，得到各方關(guān)注，快速發(fā)酵成網(wǎng)絡(luò)熱點(diǎn)的同時(shí)，也引發(fā)了新一輪針對(duì)信息安全的擔(dān)憂。

“知名人士和普通公眾要意識(shí)到圖片和數(shù)據(jù)已經(jīng)不再只是乖乖地躺在生成它的設(shè)備上了。”Tripwire安全研究員Ken Westin總結(jié)道。

與6年前的香港艷照門(mén)事件主要肇始于硬件設(shè)備經(jīng)他人之手致使信息泄露不同，這次照片泄露事件是在當(dāng)事人手機(jī)完好、自身完全不知情的情況下發(fā)生的。令公眾迷惑不解的是，黑客們是如何侵入這些女星的手機(jī)的。

隨著事件的進(jìn)一步披露，矛頭逐漸指向了iCloud—蘋(píng)果公司于2011年推出的在線存儲(chǔ)和備份服務(wù)。用戶(hù)在iCloud中存儲(chǔ)的音樂(lè)、照片、APP、聯(lián)系人和日歷等可以無(wú)限推送到用戶(hù)所有支持iCloud同步的設(shè)備上，而無(wú)需使用連接線。這在給用戶(hù)帶來(lái)方便之余也為黑客提供了可乘之機(jī)。

當(dāng)使用云服務(wù)時(shí)，私人信息變得越來(lái)越難以控制。事實(shí)上，在最初曝出這些艷照的美國(guó)地下分享論壇上已經(jīng)圍繞著iCloud形成了一個(gè)黑客圈。圈內(nèi)人士主要是一批很有能力的黑客，他們?cè)丛床粩嗟叵蝾櫩汀閮?nèi)容收藏者提供“貨源”。而蘋(píng)果對(duì)于微小安全問(wèn)題的“不以為意”也在客觀上讓這個(gè)圈子得以持續(xù)運(yùn)轉(zhuǎn)下去。

攻陷云端

8月最后一天的這個(gè)周末下午，AnonIB資深用戶(hù)OriginalGuy突然在AnonIB上發(fā)帖公布自己收藏的大量“私貨”。AnonIB是著名照片分享社區(qū)4chan的分支論壇。論壇上充斥著大量的色情內(nèi)容，同時(shí)還聚集了一批黑客，這些黑客深諳如何入侵iCloud賬號(hào)獲取私密信息之道。

資深用戶(hù)OriginalGuy首先發(fā)布了有碼版的女星私密照片，以吸引用戶(hù)花費(fèi)比特幣觀看完整版。

但他的運(yùn)氣并不好，論壇用戶(hù)們顯然都想獲取更多照片，但是很少有人愿意為此付費(fèi)。最終他只拿到了120美元的比特幣，這讓他感到沮喪，“想想看我花了多少時(shí)間和金錢(qián)在這上面，我拿到的錢(qián)跟期望中相去太遠(yuǎn)”。盡管如此他還是繼續(xù)發(fā)布了更多的女星私密照片。這正是此次好萊塢女星私密照片泄露事件的源頭。

后來(lái)發(fā)生的事明顯超出了OriginalGuy的控制范圍。目前還不清楚，流傳出來(lái)的照片是OriginalGuy一手發(fā)布的，還是由其他擁有相同收藏的論壇成員協(xié)同發(fā)布。

總之，這些照片吸引了成千上萬(wàn)的互聯(lián)網(wǎng)用戶(hù)，Reddit等新聞聚合網(wǎng)站加入傳播進(jìn)一步擴(kuò)大了其影響范圍。

可能是意識(shí)到自己在地下論壇上發(fā)布的照片吸引了廣泛的關(guān)注，OriginalGuy事后在AnonIB上發(fā)帖，聲明自己并不是黑客，只是收藏者，照片是他前兩天用比特幣進(jìn)行私下交易買(mǎi)來(lái)的。

據(jù)美國(guó)科技媒體Business Insider分析，這些iCloud黑客利用專(zhuān)業(yè)的密碼破解工具，通過(guò)蘋(píng)果的iForgot密碼重設(shè)頁(yè)面猜測(cè)攻擊目標(biāo)的安全問(wèn)題，往往利用一個(gè)電子郵件地址就能攻破iCloud賬號(hào)。

在最初曝出這些艷照的美國(guó)地下分享論壇上已經(jīng)圍繞著iCloud形成了一個(gè)黑客圈。

一旦侵入用戶(hù)的iCloud賬號(hào)，黑客會(huì)快速提取賬號(hào)中的照片，并利用文件檢索軟件下載照片備份。

蘋(píng)果公司在兩天后的一份聲明中確認(rèn)了這一點(diǎn)，“部分知名人士的賬戶(hù)信息外泄，是因?yàn)槠溆脩?hù)名、安全提示問(wèn)題遭到極具針對(duì)性的攻擊”，但蘋(píng)果拒絕承認(rèn)iCloud存在漏洞，“在我們現(xiàn)已完成的調(diào)查中，沒(méi)有任何案例是由Apple系統(tǒng)（包括iCloud和‘查找我的iPhone’功能）的任何漏洞引起。”

而據(jù)共享虛擬主機(jī)服務(wù)站點(diǎn)GitHub上的一條帖子披露，在女星私密照片泄露之前就有用戶(hù)發(fā)現(xiàn)了蘋(píng)果“查找我的iPhone”服務(wù)存在漏洞。這個(gè)漏洞允許黑客不停地重新輸入密碼直到發(fā)現(xiàn)準(zhǔn)確的密碼。在業(yè)界，這種目標(biāo)明確的攻擊被稱(chēng)為“暴力破解”。而多數(shù)在線服務(wù)在用戶(hù)多次輸入無(wú)效密碼后都會(huì)自動(dòng)鎖定賬戶(hù)，以防止暴力破解行為的發(fā)生。

人們使用弱密碼以及給多個(gè)賬戶(hù)設(shè)置相同密碼的傾向也為黑客們提供了便利。一旦知名人士的“查找我的iPhone”密碼被發(fā)現(xiàn)，黑客往往就可以使用同樣的密碼進(jìn)入其iCloud。

他們?cè)O(shè)置的安全提示問(wèn)題也由于其興趣愛(ài)好信息被大量公布在網(wǎng)上而形同虛設(shè)。

“這部分源于易用性和安全的矛盾，更多時(shí)候，蘋(píng)果選擇了前者，而沒(méi)有為一些高危險(xiǎn)人群提供更強(qiáng)的保護(hù)。”獨(dú)立安全研究員Ashkan Soltani在接受《華爾街日?qǐng)?bào)》采訪時(shí)這樣分析。

目前無(wú)法查證這個(gè)漏洞是否與此次照片泄露事件有關(guān)，但外界評(píng)論已經(jīng)開(kāi)始將這兩個(gè)事件聯(lián)系在一起。OriginalGuy的事后聲明表明此次外泄的名人私密照片并非來(lái)源于一次性的黑客攻擊，而是AnonIB論壇一名黑客歷經(jīng)幾個(gè)月不斷“囤貨”的成果。

隨著詹妮弗·勞倫斯、凱特·厄普頓等女星私密照泄露事件的進(jìn)一步披露，矛頭逐漸指向了iCloud。

蘋(píng)果在事發(fā)后開(kāi)始限制密碼重試次數(shù)，此時(shí)距用戶(hù)報(bào)告這個(gè)漏洞已經(jīng)過(guò)去了近4個(gè)月時(shí)間。

蘋(píng)果式“傲慢”

這種忽視漏洞報(bào)告導(dǎo)致延后處理的情況在蘋(píng)果已經(jīng)不是第一次發(fā)生了。

2012年4月，黑客利用OS X Java里一個(gè)沒(méi)有及時(shí)得到修補(bǔ)的漏洞將病毒傳染至70萬(wàn)臺(tái)蘋(píng)果電腦，形成了一個(gè)大規(guī)模的OS X僵尸網(wǎng)絡(luò)。甲骨文公司（Oracle）在當(dāng)年的2月14日發(fā)布了針對(duì)Windows Java漏洞的補(bǔ)丁，而蘋(píng)果直到7周后才正式發(fā)布OS X系統(tǒng)補(bǔ)丁，亡羊補(bǔ)牢。

最近的一次事例是，知名黑客Kristin Paget于今年2月底在其個(gè)人博客中批評(píng)蘋(píng)果安全團(tuán)隊(duì)發(fā)現(xiàn)重大漏洞后，雖然在桌面操作系統(tǒng)中進(jìn)行了修復(fù)，但移動(dòng)操作系統(tǒng)中同樣漏洞的修復(fù)卻延遲了三周。而在Kristin Paget寫(xiě)這篇博客文章的二十幾天前，她還是蘋(píng)果安全團(tuán)隊(duì)的一員。后來(lái)，她離職去了特斯拉。在蘋(píng)果任職的一年多時(shí)間里，她一直保持“黑客公主”（Hacker Princess）的稱(chēng)號(hào)。

據(jù)美國(guó)科技網(wǎng)站CRN披露，蘋(píng)果沒(méi)有定期的補(bǔ)丁更新機(jī)制，也沒(méi)有一個(gè)產(chǎn)品安全事件的應(yīng)急團(tuán)隊(duì)。由于這些缺失，蘋(píng)果對(duì)安全漏洞的回應(yīng)十分緩慢，這也逐漸加深了外界關(guān)于蘋(píng)果態(tài)度傲慢的印象。

一定程度上來(lái)說(shuō)，蘋(píng)果有其傲慢的資本。蘋(píng)果公司的閉環(huán)操作系統(tǒng)一直以安全嚴(yán)密著稱(chēng)，很少有黑客、惡意軟件成功入侵蘋(píng)果系統(tǒng)。蘋(píng)果曾在廣告詞中聲稱(chēng)蘋(píng)果電腦比微軟個(gè)人電腦更安全，這于喜歡挑戰(zhàn)的黑客來(lái)說(shuō)就像是在一頭公牛面前揮了揮紅布。幾個(gè)月后蘋(píng)果換掉了這句廣告詞。

蘋(píng)果系統(tǒng)的安全得益于其在這方面付出的努力，蘋(píng)果雇傭頂尖的安全工程師，是FIRST（事件響應(yīng)與安全組織論壇）的成員，同時(shí)跟FreeBSD項(xiàng)目有推進(jìn)安全方面的合作。但總體來(lái)說(shuō)，蘋(píng)果似乎更喜歡借助內(nèi)力而非外力，盡量少地接受來(lái)自外界的幫助。這一點(diǎn)在蘋(píng)果的產(chǎn)品線上也有所體現(xiàn)，作為一家科技公司，其產(chǎn)品涵蓋操作系統(tǒng)、軟硬件、安全等領(lǐng)域。

在競(jìng)爭(zhēng)激烈的IT產(chǎn)業(yè)這或許是一種保持自身競(jìng)爭(zhēng)力的有效方法，但是當(dāng)涉及到安全問(wèn)題時(shí)，如果能與安全研究者等業(yè)內(nèi)人士進(jìn)行有效溝通，往往能取得事半功倍的效果。蘋(píng)果在這方面遠(yuǎn)不及微軟、思科、谷歌等供應(yīng)商。

同樣作為美國(guó)科技巨頭，谷歌在這方面顯示出了極大的熱情和投入。谷歌不僅是Pwn2Own黑客大賽的主辦方，而且從2012年起每年自行舉辦Pwnium黑客大賽，提供豐厚獎(jiǎng)金獎(jiǎng)勵(lì)能夠發(fā)現(xiàn)谷歌軟件產(chǎn)品關(guān)鍵安全漏洞的黑客。就在前不久，谷歌對(duì)外公布了一個(gè)名為Project Zero的互聯(lián)網(wǎng)安全項(xiàng)目，團(tuán)隊(duì)成員主要是谷歌內(nèi)部的頂尖安全工程師，他們的唯一使命就是發(fā)現(xiàn)、跟蹤和修補(bǔ)一些全球性軟件的安全漏洞。

如果說(shuō)安全問(wèn)題被谷歌當(dāng)作一種營(yíng)銷(xiāo)手段運(yùn)用自如的話，隱蔽性則是蘋(píng)果公司的一大競(jìng)爭(zhēng)優(yōu)勢(shì)，這或許也是導(dǎo)致蘋(píng)果安全方面問(wèn)題的部分原因。

“蘋(píng)果在安全方面的問(wèn)題部分緣于其注重隱蔽性的文化。在這種文化中，即使是最平常的產(chǎn)品—比如一款簡(jiǎn)單的軟件或安全更新—在正式發(fā)布之前都不會(huì)向外界透露半點(diǎn)風(fēng)聲。這可能會(huì)給外界造成這樣一種印象：蘋(píng)果會(huì)忽視最初的安全漏洞報(bào)告。”威斯康星大學(xué)麥迪遜分校信息科技研究所資深系統(tǒng)工程師Dave Schroeder分析道。他同時(shí)是一位頗有影響力的蘋(píng)果安全專(zhuān)家。

在一位已經(jīng)從蘋(píng)果離職的員工看來(lái)，蘋(píng)果嚴(yán)密的保密措施是其繼續(xù)前進(jìn)的障礙。“待在蘋(píng)果最讓人絕望的一點(diǎn)就是嚴(yán)格的保密規(guī)定，有時(shí)候這讓我們很難繼續(xù)我們的工作。蘋(píng)果在安全方面可以說(shuō)是站在前列，但是蘋(píng)果在這方面最大的問(wèn)題就是他們從來(lái)不說(shuō)。”

蘋(píng)果安全團(tuán)隊(duì)向來(lái)低調(diào)，很少參與業(yè)界研討會(huì)，也不公開(kāi)發(fā)言。安全研究員Richard Bejtlich曾打趣道，“我認(rèn)識(shí)一些去蘋(píng)果工作的人，后來(lái)我就再也沒(méi)聽(tīng)說(shuō)過(guò)他們的消息”。

實(shí)際上，蘋(píng)果在安全問(wèn)題方面的“傲慢”與低調(diào)正在給外界造成一種其不愿與安全社區(qū)合作的印象。“不論什么時(shí)候我向蘋(píng)果報(bào)告一個(gè)漏洞，都沒(méi)有回音，或許在蘋(píng)果看來(lái)，安全研究領(lǐng)域的研究不值得信任，跟業(yè)內(nèi)人的合作價(jià)值不大。”獨(dú)立信息安全研究員Joshua Wright抱怨道。專(zhuān)家指出蘋(píng)果疏于與發(fā)現(xiàn)并報(bào)告產(chǎn)品漏洞的安全研究者交流，將會(huì)把自己置于一個(gè)危險(xiǎn)的境地。

艷照風(fēng)險(xiǎn)消失？

女星私密照片泄露事件發(fā)生后的第6天，蘋(píng)果CEO蒂姆·庫(kù)克（Tim Cook）接受了《華爾街日?qǐng)?bào)》的采訪。庫(kù)克重申了蘋(píng)果聲明中著重強(qiáng)調(diào)的一點(diǎn)—iCloud服務(wù)并沒(méi)有被黑客“攻破”。他說(shuō)，這些明星的iCloud賬戶(hù)被盜了，黑客通過(guò)正確回答賬戶(hù)設(shè)置的安全問(wèn)題，或者通過(guò)釣魚(yú)軟件取得了用戶(hù)ID和密碼。

分析人士認(rèn)為，蘋(píng)果拒絕承認(rèn)iCloud的脆弱，或許是考慮到9月9日發(fā)布的iPhone 6智能手機(jī)以及最新的iOS 8，這些產(chǎn)品都具有與iCloud有關(guān)的新功能。

無(wú)論如何，蘋(píng)果為應(yīng)對(duì)此次事件已經(jīng)打算對(duì)其系統(tǒng)做出一些改變。在采訪中，庫(kù)克給出了兩方面降低風(fēng)險(xiǎn)的措施。一方面，未來(lái)當(dāng)有人嘗試修改賬戶(hù)密碼、在一臺(tái)新設(shè)備上恢復(fù)iCloud數(shù)據(jù)時(shí)，或有設(shè)備第一次登錄賬戶(hù)時(shí)，蘋(píng)果將以郵件和推送通知的方式提醒用戶(hù)。而到目前為止，蘋(píng)果的通知形式僅限于郵件，當(dāng)恢復(fù)iCloud數(shù)據(jù)時(shí)，用戶(hù)不會(huì)收到任何形式的通知。另一方面，蘋(píng)果將擴(kuò)大名為“雙重認(rèn)證”的更高級(jí)安全系統(tǒng)的使用，該系統(tǒng)要求用戶(hù)登錄賬戶(hù)時(shí)通過(guò)三個(gè)認(rèn)證程序中的任意兩個(gè)：密碼、單獨(dú)的一次性四位數(shù)驗(yàn)證碼、或是用戶(hù)注冊(cè)該服務(wù)時(shí)獲得的一長(zhǎng)串訪問(wèn)密鑰。

這是OriginalGuy在決定發(fā)布照片之前就已經(jīng)預(yù)料到的情況。他很清楚，蘋(píng)果很快就會(huì)對(duì)iCloud采取補(bǔ)救措施，自己的做法會(huì)導(dǎo)致iCloud黑客和名人照片交易圈遭到打擊。“泡沫即將破裂”，他在發(fā)布照片的帖子上寫(xiě)道。

監(jiān)管部門(mén)開(kāi)始介入，美國(guó)聯(lián)邦調(diào)查局（FBI）9月1日宣布接到指控說(shuō)多位名人的網(wǎng)絡(luò)賬號(hào)被黑客攻擊，導(dǎo)致私密照片泄露，并表示目前已對(duì)此指控展開(kāi)調(diào)查。

OriginalGuy本人的正常生活也受到影響，在發(fā)送給支持者的一條消息中，他表示已被迫搬遷至新的地點(diǎn)，以躲開(kāi)相關(guān)部門(mén)。同時(shí)他呼吁支持者使用比特幣捐款，以支持他所在的團(tuán)體未來(lái)繼續(xù)發(fā)布這類(lèi)照片。

而4chan論壇也在著手修改論壇分享規(guī)則。除了回應(yīng)當(dāng)事人要求并刪除非法內(nèi)容外，4chan稱(chēng)將根據(jù)《數(shù)字千年版權(quán)法》（美國(guó)版權(quán)法律）的規(guī)定，警告通知發(fā)布違規(guī)內(nèi)容的用戶(hù)，多次違反規(guī)定的人會(huì)被封禁。

風(fēng)波過(guò)后，AnonIB論壇成員開(kāi)始發(fā)帖討論這一事件對(duì)其行業(yè)的影響，一些iCloud黑客和名人照片交易者甚至宣稱(chēng)，“這個(gè)行業(yè)已經(jīng)完蛋了”。

這種預(yù)測(cè)不免顯得過(guò)于悲觀。互聯(lián)網(wǎng)的色情產(chǎn)業(yè)鏈條完備、歷史悠久，圍繞著iCloud形成的名人照片交易圈僅僅是這個(gè)鏈條上的一個(gè)環(huán)節(jié)。