黑客疑利用Find My Phone漏洞 荷李活女星裸照瘋傳

By on September 2, 2014

奧斯卡金像影后珍妮花羅倫絲(Jennifer Lawrence)以及多名荷李活女星的手機,懷疑被黑客入侵,並將她們的裸照上載到社交網站瘋傳。

黑客在蘋果的雲端儲存系統iCloud發現漏洞後,入侵受害人手機,獲得逾百名荷李活女明星的私密照片,當中《飢餓遊戲》女主角珍妮花羅倫絲在不同地方自拍或被拍的60張裸照,亦被發布在網站4chan。

珍妮花羅倫絲發言人已證實照片真確,並報警處理,聲言會起訴任何上載被盜照片的人。

除珍妮花羅倫絲外,受害女星包括人氣歌手Rihanna、超模Candice Swanepoel、「新Kate Moss」超模Cara Delevingne以及真人騷女星Kim Kardashian等。

黑客疑是利用Find My Phone的漏洞來破解密碼
TNW 報導,黑客有可能是利用了蘋果的 Find My Phone 的一項漏洞,通過暴力破解密碼潛入名人的 iCloud 帳號。不過蘋果已在美國太平洋時間今早淩晨 3:20 修補好這一漏洞了。

據稱 Find My Phone 服務的這一漏洞似乎可讓攻擊者在不受限制並且對方不知情的情況下反覆嘗試密碼。一旦破解密碼成功即可用來潛入 iCloud 的其他功能。利用此漏洞的工具被上傳到了 GitHub 上,兩位天后又被分享到了 Hacker News 上。

20140902002b

值得留意的是漏洞並不允許潛入iCloud 密碼,只是允許重複猜密碼或者進行自動的字典攻擊法(將字典裡面所查的到的任何單字或語句都輸入程式內,然後使用該程式逐個單字的去嘗試破解密碼)。從下圖可見,攻擊者使用的字典庫是500 RockYou,這個庫採用的密碼都是符合 AppleID 的密碼規則的。但是要想破解密碼成功的話,帳號原先所設的密碼必須相對較弱。

20140902002c

由於許多名人相互認識,所以有可能會引起連鎖反應,破解一個人的密碼之後其通信錄資料可用於識別其他名人的郵寄地址,然後再重複類似破解的過程。

20140902002e

因此,這次事件給大家的教訓是,密碼強度一定要設置得夠高(大小寫字母加數位加其他字元的組合,密碼長度要足夠),最好採用雙因素認證(two-factor authentication)。

其餘受害女星名單

其餘受害女星名單

原文:信報財經新聞36Kr
Photo:  TNW

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們