9月2日，美國東部時(shí)間2:30，蘋(píng)果做了一些它通常不會(huì )做的事情：它發(fā)布了緊急媒體咨詢(xún)，告知其用戶(hù)安全隱患。在過(guò)去的48小時(shí)內，包括eWEEK在內的多家媒體都報道了這一風(fēng)險，原因是好萊塢的名人侵犯了他們的個(gè)人隱私，并盜取了圖片，據稱(chēng)是從Apple的iCloud服務(wù)中竊取的。

蘋(píng)果公司表示：“經(jīng)過(guò)40多個(gè)小時(shí)的調查，我們發(fā)現某些名人帳戶(hù)受到針對用戶(hù)名，密碼和安全性問(wèn)題的針對性攻擊，這種作法在互聯(lián)網(wǎng)上已經(jīng)非常普遍。” “我們調查的案件中，沒(méi)有一個(gè)是由于蘋(píng)果的任何系統(包括iCloud或Find my iPhone)的任何違規行為造成的。”

該聲明聲稱(chēng)，iCloud本身并未遭到破壞，但這就是保存圖像的服務(wù)。該聲明聲稱(chēng)這是一次“有針對性的攻擊”，但被黑客入侵的不是一兩個(gè)名人，而是數十個(gè)。此外，該聲明還聲稱(chēng)該攻擊是針對用戶(hù)名的，在這種情況下，該用戶(hù)名是AppleID，實(shí)際上是由Apple控制的系統。

毫無(wú)疑問(wèn)。這里發(fā)生了犯罪行為，黑客對此負責。也就是說(shuō)，蘋(píng)果公司還有責任適當保護用戶(hù)，使其免受黑客和他人的攻擊。

在這里進(jìn)行更深入的研究，Apple尚未向我們提供其40小時(shí)調查的全部詳細信息，并且尚不確切知道針對性攻擊使用了哪些工具。流行的理論之一是，這是蠻力攻擊，它會(huì )隨機并自動(dòng)猜測用戶(hù)名和密碼。蘋(píng)果公司稱(chēng)未直接違反iCloud或“查找我的iPhone”系統的說(shuō)法并沒(méi)有否定這一理論。

另一種可能性是一種簡(jiǎn)單的網(wǎng)絡(luò )釣魚(yú)攻擊，其中，黑客向名人發(fā)送了虛假電子郵件，并誘使他們單擊某些內容。此類(lèi)攻擊可能潛在地導致了憑證泄露。

無(wú)論如何，蘋(píng)果都應該并且必須做一些事情來(lái)保護其用戶(hù)免受暴力攻擊和網(wǎng)絡(luò )釣魚(yú)攻擊。盡管用戶(hù)在單擊鏈接時(shí)可以使用復雜的密碼和常識，但Apple可以超越此限制。

在今年早些時(shí)候的黑帽美國安全會(huì )議上，雅虎首席信息安全官亞歷克斯·斯塔莫斯(Alex Stamos)提出了他所謂的“安全家長(cháng)制”的理由。也就是說(shuō)，供應商可以并且應該代表用戶(hù)做出安全決策，以幫助保護他們。在這一點(diǎn)上，蘋(píng)果采用Stamos的方法并為用戶(hù)采取積極的安全措施將是一個(gè)好主意。

在暴力攻擊中，一種稱(chēng)為速率限制的技術(shù)是一種明顯的緩解技術(shù)，該技術(shù)可限制用戶(hù)可以嘗試進(jìn)行連接的次數。此外，假設用戶(hù)已經(jīng)從其本地位置登錄iCloud，Apple可能或應該能夠確定從其他位置進(jìn)行遠程登錄可能是對訪(fǎng)問(wèn)的欺詐嘗試。

類(lèi)似于銀行和信用卡供應商用于通過(guò)異常行為檢測欺詐的大數據分析技術(shù)，也可以用來(lái)限制網(wǎng)絡(luò )釣魚(yú)的風(fēng)險。

如果用戶(hù)要求將iCloud完整還原到新設備，而他們現有的設備仍處于活動(dòng)狀態(tài)，則應該向用戶(hù)的電子郵件或電話(huà)發(fā)送某種確認提示。如果iCloud備份只能備份并還原到經(jīng)過(guò)驗證的AppleID連接的設備，則這是另一個(gè)可能的步驟，可以限制風(fēng)險。

毫無(wú)疑問(wèn)，蘋(píng)果公司的安全團隊擁有更多的想法和技術(shù)，可以進(jìn)一步提高用戶(hù)安全性。就我們所知，Apple可能已經(jīng)在執行上面概述的所有各種技術(shù)。

最重要的是，全球用戶(hù)現在對Apple的安全性存在恐懼，不確定性和懷疑，這家科技巨頭有責任采取一切可能的措施來(lái)恢復信任和信心。