原本不想发这篇文章的,想封存下来,但看到事件的发展走向越来越微妙,有兄弟夜不能寐,不能免俗,还是出来说说。
先来科普下这次事件的罪魁祸首:find my iPhone功能。
苹果手机内置了一个重要的安全功能叫 find my iPhone , 苹果手机与Apple ID绑定开启该功能后,用户可以通过Apple ID远程锁定手机和抹去手机数据。
说简单点,苹果这个远程锁机的安全功能需要知道两个角色,一个是硬件,一个是人,苹果怎么来分辨硬件和人呢?
1、设别硬件需要靠IMEI号,IMEI(移动设备国际识别码)是手机的唯一识别号码。用手机拨号输入*#06#,屏幕上会显示IMEI,苹果手机的背后打印着IMEI号。
2、设别人需要靠账号,苹果的账号体系就是Apple ID,Apple ID默认是用户的一个邮箱,Apple ID本身也有很多安全保护措施,如找回密码和两步验证。
今年网易手机315策划了一个专题“克隆IMEI码引发的风波”
建议大家细读一下这个专题,我这里给大家简单解读一下,IMEI号是可以被克隆的,也就是硬件的身份能够被伪造,苹果分不清楚你的iPhone是你iPhone。网易手机315专题得出的结论是:
“iPhone锁定其他设备的原理是利用硬件漏洞,通过更换通讯CPU和更改基带存储器底层资料,修改闪存中的设备信息,使设备信息和要被锁定的机器相同,且待被锁设备iCloud查找iPhone未被启用(苹果安全机制严重漏洞),然后刷机、激活、锁定!”
我再用半通俗半技术的话解读下——
这个刷机需要一台越狱的苹果手机,越狱还不是关键,还需要能硬解,能够改写硬件里的数据也就是改写IMEI号。
这个产业链一度盛行,经常有人的iPhone莫名其妙地被锁定,说白了这里是苹果安全机制的一个疏漏,没办法认清楚硬件和人,硬件标识可以伪造,绑定到一个恶意Apple ID上,这个Apple ID就可以在云端不分青红皂白的锁定这个IMEI号的设备。
所以,你的IMEI号泄露了,很有可能被这个产业链的人恶意利用锁定你的手机。
讲到这里,进入正题,其实围绕find my iPhone功能和漏洞,抛出了一个终极的哲学问题,你怎么证明你是你!
现在硬件都不能证明硬件自己了,换成人怎么办?大家无论使用Apple ID还是网易邮箱,最重要的要素就是密码,即黑客知道了你的Apple ID密码也能锁定你的iPhone,Apple ID是一个邮箱,黑客无需攻破你的Apple ID,只要能攻破你这个Apple ID的邮箱。由于之前苹果出过大规模的好莱坞明星iCloud艳照泄露事件,苹果推出了新的安全机制,也就是两步验证——
两步验证的意思是密码不再被信任,你有了密码还需要短信和信任的硬件认证,密码已经不能代表你了,还需要其他东西来证明你是你。
最近几年爆出最影响深远的安全事件莫过于“拖库”,国内许多重要网站的用户密码都泄露了,像这次大规模苹果手机被锁的事一发生,神经敏感的人肯定往“拖库”上去想,是不是苹果的密码泄露了,是不是网易邮箱的密码泄露了。
除了“拖库”还有“撞库”,是黑客通过网站的登录接口进行密码的暴力破解,而这个暴力破解的密码就是之前“拖库”泄露的你的常用密码。
“拖库”和“撞库”是两个截然不同的安全事件了,“拖库”可以认为厂商的数据库直接就沦陷了,可以被黑客直接拖走。“撞库”只能说厂商的网站业务存在安全漏洞,用户的账号被人间接攻破。
这次事件,如果说是“拖库”那么就严重了,说明厂商毫无安全可言,厂商的信誉将大损,如果说是“撞库”,那么问题就被弱化了,无非是业务上出现了安全漏洞。
说句公道话,无论是“拖库”和“撞库”,都得讲究证据,如果没有证据就说网易被“拖库”了,那明显有炒作的嫌疑。如果真是“撞库”,那么厂商也不想把问题扩大化,公关之词也可以被理解。
说句大道理,其实“拖库”和“撞库”于大众而言没有任何意义,这个时候厂商应该想的是如何善后,为用户真正解决问题。个人还是比较认可网易的业务安全的,但是这个关键时刻,厂商不应行公关之词,而是要宣传加强自己的业务安全,是个非常好的机会来用事件推动产品安全!
我想至今还有大部分用户不知道网易密码丢了,连密码方式都忘了以后怎么要回来。这里提醒下,进网易账号修复支持中心可以直接申诉,这里面的流程虽然也有安全漏洞,但总比干看着好。
另外如果你的苹果手机遇到锁机情况无法解决,有购物小票、发票等能证明手机是你的票据,就可以去苹果售后官方解锁,并且可以选择报案,让警方和苹果捣毁这群不法分子。”
最后再说句实话,这次事件大众是受害者,厂商也是受害者,安全圈如果没有证据,就不要再火上浇油加害受害者了,抱团去挑战这个万恶的黑色产业链才是正途。