就在不久之前,国外著名科技网站The Verge曝光了苹果的一个十分弱智的安全漏洞,该安全漏洞基于URL破解,它让任何人都可以在苹果的iForgot密码重置系统上通过电子邮件地址和生 日日期这两个信息来重新设置你的苹果账号密码,也就是Apple ID密码。
一般来说,出现这种情况人们会认为,这似乎只是一个非常普通的、无伤大雅的软件安全问题,或者应该是服务器设置有误。这类事情我们见多了,几乎每个星期都会 遇到几次。有人会说,反正这又不会造成任何财产上的损失,因为苹果公司之前增加了一步安全认证,现在是双保险了。甚至还有人会说,苹果在大多数用户发现这 个问题的时候就已经将相关问题解决了,这就已经很不错了。
事实上并不是这样的。这些辩解理由非但不能替苹果开脱责任,反而证明了苹果现在自身存在的一个极大的问题,那就是他们在从一个出色的硬件设计、制造公司向网络云服务公司转型的道路上,走得并不顺利,甚至可以说是一路颠颠簸簸。
而这对于苹果来说十分尴尬。就拿Apple ID这件事情来说,这个东西已经不再是一个在iPhone上下载、升级应用程序时所要输入的账号和密码了,现在,我们可以通过Apple ID来进入苹果的整个生态系统,它将苹果的硬件设备、软件系统、应用商店和其他线上云服务连接在一起。对于这么重要的一个角色,苹果的状况很难令人满意。
约翰霍普金斯大学教授、密码学家马修格林曾经这样描述苹果的iForgot系统,他说:苹果的iForgot服务相当于苹果整个云服务或是说生态系统的总管家,通过它,你可以找回任何一间房门的钥匙。iForgot是苹果的终极密码重设器。
马修格林教授表示:“Apple ID已经成为用户通往苹果整个云服务体系的必经也是唯一通道,通过Apple ID,我们可以接触到所有存储在苹果iCloud云端服务的数据,包括电话号码、电子邮件等等。换句话说,通过iForgot重置Apple ID的密码,我们就可以完全地掌握别人的账号中储存的私人信息了。”
他还强调:“如果你任职于苹果公司的安全团队,并且有权决定公司的钱花 在什么地方的话,那么你一定要在iForgot系统上多下点功夫。你至少需要两个团队来审视自己的安全系统,一个是公司内部的审核团队,另一个来自外部的 第三方团队更为重要,他们要对苹果的安全系统进行定期的评估。总之,事实上这次苹果在Apple ID上的安全漏洞愚蠢得令人难以接受,至少我不认为苹果会犯下这种低级错误。”
不过苹果似乎即便是在发现了该安全漏洞以后,都搞不清楚它们 的安全系统到底有多么得脆弱。国外另一家媒体iMore在随后的新闻中指出,面对这个关乎Apple ID的安全漏洞,苹果最开始只是在iForgot页面上挂起了一个页面维修中的标志,并关闭了重置密码的入口,以便防止普通用户利用该安全漏洞进入他人账 户。而这种做法对于那些稍微有点技术含量的黑客来说却根本构不成什么障碍。这些黑客可以通过输入一个网址来欺骗服务器,让服务器认为页面仍然在处理密码重 置服务。这种做法甚至可以绕过苹果密码重置步骤中的安全问题系统,因为服务器会认为你已经成功回答了两个安全问题。
直到后知后觉的苹果突然反应过来这样还是不行,才在该安全漏洞被彻底解决之前,完全关停了iForgot服务。
而另一方面,苹果的补救措施让我们忍无可忍。按照常理,苹果应该在该安全漏洞被被曝光后迅速将早就该有、但是最近才推出的两步验证措施推广开来。这个两步安 全验证要求接入Apple ID的人同时拥有注册的苹果设备和Apple ID密码这两个信息,可以有效防止账号的盗用。然而悲剧的事情发生了,即便是在iForgot安全漏洞被曝光后,苹果的两步安全验证系统也只能在美国、英 国、澳大利亚、爱尔兰、新西兰使用。一点不夸张,只限于上面的这五个国家。
所以说,说了这么多我们只能证明一点,那就是苹果对于这次安全漏洞危机的处理并不理想,不仅不够认真,马马虎虎,而且反应迟钝,对于两步安全验证的不公平待遇,我们甚至真是懒得再说些什么了。这事儿,苹果不仅把自己搞得一团糟,还让用户们面对这样的烂摊子,确实令人不爽。
如 果你还是觉得iForgot重置密码系统的安全漏洞无关痛痒,那么下面就让我们一起来看看如果一个人掌握了你的Apple ID,他会对你造成什么样的威胁或者说损失吧。让我们先把思想放单纯一些,假设那个侵入你Apple ID的人的“作案”动机比较简单,纯粹就是为了恶作剧和搞破坏,那么他可以通过苹果的“查找我的……”服务来轻松地远程擦除你的iPhone手机或者iPad平板电脑,甚至是笔记本电脑。他还可以轻松查阅你的电子邮件和短信记录,可以修改你的个人资料,还可以以你的名义发送信息、聊天,甚至是以你的名 义来使用Facetime。
更加耸人听闻一点的事情也十分有可能发生。通过iForgot密码重置系统的安全漏洞,那些坏家伙可以利用一个人的Apple ID来侵入其他人的账号,或是在线下来设置骗局。比如,当他们掌握了你的通讯录联系人资料,很有可能会通过里面记录的电子邮件地址和生日日期来入侵你的朋友的苹果账号。坏人和小人们总是贪得无厌的。“查找我的手机”、“查找我的朋友”以及日历日程这些功能会让对方轻易知道你和你的朋友门在什么时间什么地点做什么事情,这不仅让你的个人隐私暴露无余,更进一步的话,对于那些希望你身心受到摧残的人来说,这简直是就是毁灭性的报复手段。
当然对于专业的网络安全惯犯来说,他们的目标更加直接干脆,他们就是冲着你的个人资料和文件去的。一旦他们入侵了你的Apple ID,这些数据可以轻松地通过电子邮件、iMessage短信以及云端备份来获取。这里面包含的东西实在是太丰富了,App数据、App设置和系统设置(不包括独立服务密码或是第三方应用密码)、照片、视频、短信、电子邮件等等等等。他们可以将这些资料卖钱,也可以通过这些资料设立一个令或者你的朋友深信不疑的骗局。
马修格林教授说,苹果对于备份服务并未透露过多的技术细节,我们并不能准确地了解到哪些资料会被上传备份,但是我们可以肯定,只要你默认设置了云端服务,所有你iPhone上有的内容,云端上基本都会同步的。也就是说,三四年前用来保护你iTunes账号的安全系统现在竟然原封不动地用到了保护这么重要的数据上来。
如果苹果不能从根本上完美地保护我们的Apple ID,那么获取这些备份数据、文件资料、联系人信息、电子邮件等等都将是一件十分容易的事情,因为他们都在你的云端个人档案中。所以如果你最近也发现一直在使用的Apple ID密码突然失效了,那么你真的摊上大事儿了。
总之,所有这一切都还是回到了苹果对于iForgot安全系统的疏忽这个问题上面来。对于这么重要的一个东西,苹果竟然在小阴沟里翻了船。这就相当于一个小偷在你外出时想要偷你家里的所有东西,而你却恰恰忘记锁门这么简单。而且一次两次就算了,关键是你竟然总是忘记锁门,给小偷创造机会。
对于Apple ID的安全问题可能造成的后果,我们进行了一系列的假想和揣测,但是马修格林教授对于苹果安全体系的评价却更加令人担忧苹果怎么重新注册国外id。马修格林教授说:“你知道吗,特勤局(美国国家元首保护部门)除了保护总统还要做很多的事情,但是保护总统是他们最根本的任务。设想一下,如果他们连这个最根本的任务都没有做好,你还会指望他们去做别的事情吗?”
黑客们通过对苹果云端处理器的攻击,可以获得苹果用户的信用卡卡号以及相应的注册开卡地址,可以获得所有的云端备份资料,这让他们可以轻松地“变成”你。尽管这些数据被像银行金库那样严严实实地保护了起来,但是坏人们还是有很多办法去得到它们。黑客们可以通过Wi-Fi数据包截取、破解FaceTime、iMessage个人通讯协议、伪装iTunes升级等方法接管你的iPhone手机或是其他设备。
数据安全是一件非常严肃的事情,但是我们上面说了这么多事情,却没有一件事情能够触及苹果的底线,让其开始认真思考、对待这个问题。继续用刚才的例子,苹果不是忘了锁后门就是锁上了后门忘了锁前门,而且从来不想着让别人去看看这个房子的防盗工作做得怎么样。
公平地来说,苹果在保护iCloud数据安全方面做了很多工作。比如,在电子邮件、备忘录、音乐的备份还原中,苹果不仅在服务器上采用了至少128位的AES加密算法,而且在数据传输过程中也对它们进行了加密处理。新Apple ID的密码设置要求也非常严格,必须采用数字和字母的混合编排,而且必须同时包含大写、小写字母,密码长度不得低于8位,其中相同的字符不得连续出现3次。过去iTunes上有很多特别弱的密码设置,这些密码现在被搬到了整个Apple ID生态系统上来了,苹果也很积极地试图去解决这个问题。
还有之前所说的两步安全验证机制,虽然有地域上的使用限制,但毕竟聊胜于无。现在,如果你需要对Apple ID账户进行大的改动,比如说更改用户密码或是注册新的设备,你需要答对两个随机的安全问题。再比如说所有第三方应用程序的账号密码都不会再云端备份,黑客们暂时还没有办法通过破解云端备份数据来入侵你的微博、微信或是其他应用账号。
苹果公司内部对于员工接触用户个人资料也有着非常严格的限制,他们在这方面有着非常细致的规定和完善的审核机制。
首先让我想到的就是Dropbox。当然我们并不是说Dropbox这家专注于云端存储服务的公司在数据安全上就一定无懈可击,我想说的是,即便是Dropbox这个级别的公司都会在发现安全漏洞的时候聘请第三方的安全团队来进行评估、建议。而反观苹果,苹果在这方面非常不透明,它不愿意让外人来审视自己,甚至是苹果的开发者和苹果的用户都不行。这种态度也许可以帮助苹果制造出非凡的消费电子产品,但对于他们的云端服务安全来说,却毫无好处。
在去年,Ars Technica(同为国外知名科技媒体)曾经对苹果iCloud的安全问题进行过一次调查,Ars Technica认为:“你的数据存储在iCloud上和存储在其他云端服务器上是一样安全的,甚至要更加安全。”但这毕竟是Ars Technica基于一堆猜测而得出来的结论,这恰恰揭示出苹果对于安全问题的不公开性是苹果的一个非常致命的弱点。没有人真正清楚苹果在鼓捣些什么。事实上和安全问题相比,苹果更多地将精力用在了优化用户体验上。还有,苹果甚至将iCloud加密密匙的数据保存在自己的服务器上,苹果还对此辩解道:这是 行业标准、行业惯例。而在云服务这个年轻的消费市场,这个所谓的行业标准正是一群抢先涉足该领域的大公司们无形间定义的,而苹果正是这些公司中的一个。
国外著名的数据加密公司Echoworx的副总裁罗比贾瑞称:“事实就是,以苹果的价值标准来衡量,可用性比一切都重要(也就是所谓的实用主义),甚至比安全更重要。如果你能在自己电脑上的浏览器中访问那些数据苹果国外id账户,那么他们在服务器上也可以轻松访问。”也就是说,苹果公司的员工和执法部门都可以轻松的接触到苹 果用户的个人数据。作为一个拥有iPhone和iPad同时还使用iCloud服务的人来说,罗比贾瑞建议所有苹果用户都只将那些他们觉得可以分享出来的东西同步到iCloud上面,任何不想让苹果员工和执法部门看到的东西,都只留在自己的设备上就好了。他同时还建议,苹果应该像所有其他云服务提供商一样,把它的加密体系和安全体系都交给一个值得信任的第三方专业公司进行定期审核评估。
马修格林教授也非常认同这样的观点,他说,如果你去看 看亚马逊和微软,你会知道这两个公司在安全系统上都有哪些举措、投入了多少人力物力在做安全这件事。但是没人会谈论苹果的安全系统做得怎么样,因为苹果为 此守口如瓶,它不想让人们知道。而通过这次的iForgot安全漏洞事件,你不得不想,苹果是不是连一个正儿八经的安全措施都没有。
确实,亚马逊以及微软这两家公司对于他们的云服务系统和安全措施都非常公开,在每一个涉及到安全问题的点上,这两家公司都会聘用第三方的独立安全评估。不仅如此,亚马逊和微软在安全方面都取得了众多认证,这些认证不仅真正用于安全环节,而且能够证实他们的安全系统的可靠性,而且还会保证对一些敏感的个人信息的处理,严格遵守国家对于个人隐私的保护的法律。而所有的这些,他们甚至允许客户进行渗透测试。
亚马逊、微软这两家公司都是云安全联盟的成 员,这个组织是一个非营利性的组织,会经常公布一些行业内最佳的数据安全解决方案。云安全联盟的成员还包括谷歌、Box、惠普、Rackspace、 VMWare、英特尔、奥多比、甲骨文以及几乎所有在云服务上有所成绩的云计算或是云存储公司。
显然,苹果并非云安全联盟的一员。更难以启齿的事情是,我们上面所列举的例子,苹果没有一件是能做到的。苹果不具备任何的外界第三方的IT安全认证。苹果也从未透露过他们在安全方面是如何进行审核的,或者由谁来评估。
另一方面,消费者也应该出面要求云服务提供商在安全认证体系和透明度上达到一个靠谱的标准了。当然这并非针对苹果而言,事实上其他的公司,比如谷歌的Google Drive、微软的SkyDrive以及Dropbox等都面对同样的问题。但我们可以肯定的说,苹果的iCloud在这里是做得最差的,这个服务默认就是打开的,而大多数人却无法理解它的运行机制。
马修格林教授最后指出:“我不知道苹果现在是否真的面临这样的压力,但是苹果必须认清一点,那就是他们是用户个人数据的守护者,这些数据非常重要。当然,我们没有谁会要求苹果做到十全十美,但是苹果至少应该让用户们了解到潜在的安全隐患。”
苹果需要用实际行动来证明苹果的云服务可以靠得住,现在,所有的证据都表明iCloud似乎和苹果地图、MobileMe一样,完全不像是追求极致完美的苹果做出来的东西。安全问题只是iCloud不给力的一个比较主要的表现。
苹果现在作用三类业务,这个科技帝国由硬件、软件和云服务构成,现在,苹果对于前两个事情做得已经非常出色了,iCloud云服务给人的感觉则是“能用就行了”。这真是非常不妙。