一个美国记者的“数据灾难”
资讯夹
苹果联合创始人Steve Wozniak曾对云存储的安全性表达过担忧:“越多的数据被储存到云端,用户对数据的控制就越少,用户以为拥有这些数据,实际上什么都不拥有。”他的担忧以另外一种方式应验了。
不久前,美国《连线》杂志记者马特·霍楠(Mat Honan)就被黑客利用苹果的云(iCloud)给阴了。黑客修改了他的iCloud账号和密码,从而接管了他的Macbook、iPhone和iPad,并远程删除了这些设备中的邮件、照片等数据。要知道一般攻击是很难攻破苹果系统的,黑客是怎么做到的?从马特·霍楠的故事中我们可以找到答案。
受害者:突如其来的失灵
8月3日 星期五 17:00
马特·霍楠期待着周末的到来,由于工作繁忙好久没有跟家人一起外出野营了,这个周末他拟定了一个不错的郊游计划,于是他拿起iPhone想给女儿打电话,却发现手机不正常——手机中的通讯录、照片、邮件和备忘录等数据不见了。
“系统出故障了?那用iCloud还原数据吧。”作为电脑高手的马特·霍楠并没有惊慌,此时他依然认为这是一个小问题,可当他发现无法登录iCloud时,他才感到不妙,Macbook、iPhone和iPad中的数据都被远程删除了。
此时,马特·霍楠慌了,无论他怎么操作都无法找到数据。没有办法,马特·霍楠打电话向苹果技术专家求助——这是他最后的希望了,可他总是无法回答出正确的“安全问题”从而找回密码。
时间在一分一秒流失,马特·霍楠的好脾气和耐心在逐渐消失,直到苹果技术专家偶然称呼他为“霍曼先生”,而不是“霍楠先生”时,他们才找到了问题的关键——他的注册信息都被窜改了。到寻回iCloud账号和密码,耗时90分钟。
事后,马特·霍楠非常自责:“每当妻子问我还能否找回那些被删除的照片时,我都很惭愧,我感觉我是罪魁祸首。”
苹果的iCloud云服务
攻击者:环环相扣的入侵
马特·霍楠的遭遇是几名黑客的恶作剧,让我们来看看他们当时是如何破坏马特·霍楠的数字生活的。
8月3日 星期五 16:14
黑客花了数小时的时间,在这一刻终于集齐了三个重要的信息:通过Spokeo(人物资料搜寻网站)、WhitePages (社交搜索网站)和 PeopleSmart(美国的人肉搜索网站)等网站找到了马特·霍楠的资料,得到了他的信用卡账单地址;通过欺骗手段从亚马逊那里得到了马特·霍楠信用卡的末4位数字;获得马特·霍楠苹果邮箱的账号和密码。
8月3日 星期五 16:33
黑客只休息了片刻,就立即发动了进攻!黑客冒充马特·霍楠,向苹果打求助电话,谎称忘记了iCloud密码(这个密码跟苹果邮箱的密码没有联系所以黑客没有猜出来),要求重新设置密码。
在提交了姓名、账单地址以及信用卡最后4位数字后,16:50苹果将一个临时密码发到了马特·霍楠的苹果邮箱中(本报记者想重复黑客的操作,发现苹果已经停止了电话重置密码的功能)。在等待临时密码的空隙,黑客没有闲着,而是着手入侵马特·霍楠的Gmail。16:52,没有费多大劲黑客就成功入侵了马特·霍楠的Gmail账号,窜改了密码。
8月3日 星期五 17:00
在搞定Gmail后,黑客回过头来查看苹果邮箱,发现临时密码已经到手了。还等什么?入侵!黑客利用获得的苹果临时密码登录了iCloud,并重新设置了一个新的密码,牢牢地控制了马特·霍楠的iCloud账号。
然后,通过“ Find My iPhone”、“Find My Mac”等功能远程删除了移动设备中的全部数据。此外,17:02,黑客还顺手入侵了马特·霍楠的Twitter账号,发布了跟种族歧视和同性恋相关的消息,引来一片哗然。
美女·旅美·黑客
看到这里,对不懂黑客技术的你来说,整个过程还是有点迷糊,为什么这么轻松就获得了马特·霍楠的苹果邮箱、iCloud、Gmail和Twitter的账号?记者决定采访旅美黑客Juliet——她是一名“90后”美女,目前在美国卡耐基·梅隆大学读大三,也是G31的成员。
G31是美国卡耐基·梅隆大学的一个秘密团体,该团体成立于上世纪90年代后期,成员一直保持在31人,全部来自计算机系(计算机系是卡耐基·梅隆大学的王牌,在全美大学中声名显赫)。每当有会员毕业后退出社团才会引进新人,新人必须获得3位会员的推荐才有资格申请入会。Juliet凭借入侵欧洲航空航天局和全球最大的互联网域名服务商GoDaddy而被邀请入会。
看到她的战绩,“80后”的记者感到“亚历山大”:“这么逆天,还让不让人活!在我读书的时候,就玩玩黑客工具而已。”对记者翻了翻白眼,Juliet认真地对我们解释了这次入侵事件:
这次入侵,路径是亚马逊→苹果邮箱→Gmail→苹果iCloud→Twitter。黑客通过社会工程学从亚马逊那里骗到了马特·霍楠的信用卡账号的末4位数字,并借此进入了他的苹果邮箱,而马特·霍楠的苹果邮箱、Gmail和Twitter的账号和密码是一样的,攻破一个等于攻破三个。另外,如果黑客没有控制苹果邮箱,就无法获得iCloud的临时密码。
另外,在历史上苹果产品曾多次出现安全问题,例如2012年6月的时候,手机病毒Find and Call躲过安全审核出现在应用商店里面;iOS4.3出现了安全证书漏洞;2012年4月,一种名为Flashback的病毒感染了近60万台Mac电脑,打破了Mac系统百毒不侵的神话。
侵犯别人版权,谷歌将调低网站排名
Google刚刚宣布了新的搜索排名政策,如果一个网页因为侵权违反了DMCA(《数字千禧年版权法》)条款而收到投诉,那么Google将降低整站的排名。如果被投诉的次数达到一定规模(Google未透露具体次数),那么整个网站就别想在Google获得不错的排名了,即便是那些未侵权的网页的权重也会被降低。谷歌称这次的搜索算法调整,其目的就是为了让用户可以帮助用户更容易地找到合法、有质量的内容来源。
编辑点评:谷歌真是“不作恶”的模范,可是自己不也是经常被作家控告吗,看来真是“只许州官放火,不许百姓点灯”。
微软用“Modern UI”代替Metro
自从微软正式宣布完成下一代操作系统Windows 8的编译工作后,就有消息称微软为了避免版权纠纷而将放弃“Metro”称呼。而近日,微软确认了此消息,并开始在一些广告创意中使用“Modern”取代“Metro”。消息称微软或将把“Metro风格应用”改为“Windows 8应用”,将“Metro用户界面”改名为“Windows 8用户界面”。
编辑点评:Metro不是说最早的设计概念来自地铁指路板吗,怎么也遇到专利问题了。可惜了微软此前的心血,一大笔宣传费就付之东流了。
京东推云盘,现只对电子书用户开放
近日京东商城正式发布云盘产品——京东JBOX,不过目前只对京东金牌级别及以上会员和电子书用户开放。目前京东JBOX为用户提供10GB免费空间,最大上传文件1GB,可供用户存储各类电子资料。可将用户购买的电子书、音乐等数字商品直接同步到云端。
编辑点评:如果用过Amazon的Kindle,一定不会对京东的行为感到诧异。用户买了电子书,总需要地方存呀。因此咱们这里不妨大胆预测一下,京东推自己的电子书阅读器,也是迟早的事。
闪播网正式上线,出行免费用WiFi
日前,由百灵时代打造的闪播网正式上线,闪播网可以满足用户在出行过程中,比如乘坐公交、地铁或者在机场候机的时候,免费使用WiFi从闪播网内获取内容。闪播网通过自主研制的一种基于WiFi热点的网络连接技术,集合3G网卡、云存储和发射器等高新技术设备,他们把它描述成一个“黑盒子”。闪播网CEO王国胜介绍,已在北京首都国际机场、广州白云机场和重庆江北机场覆盖了闪播网的WiFi热点,同时广州市2200辆公交车也能搜索到闪播网信号。
编辑点评:过去,由于网络、硬件设备、资费以及移动互联平台内容匮乏等原因,致使大家无法方便地访问无线网络。闪播网的出现,可以更好地弥补3G网络的不足。