苹果双重验证并不保护iCloud备份及照片流服务

在 好莱坞女星艳照事件 发生后，最常简单的强化安全保护的建议之一是启用账号的双重验证功能——其中包括苹果账号。这是很好的建议，但事实上，即便有启用该项功能，那些名人也无法得到保护。要是苹果ID的邮箱地址和密码都被黑客识破，那么其它的账号也无法避免被入侵。

苹果为其账号提供双重验证已经有一段时间，但该系统存在一处遗漏，黑客正是抓住了这一点。iCloud备份并不受双重验证保护，只要有苹果ID的邮箱地址和密码，它就能够下载到新设备。

当然，那仍是一个很大的“只要”。一般情况下，你的邮箱地址和密码就几乎是所有的安全保护——一旦黑客获得那些信息，任何情况下你都很可能陷入麻烦。早期迹象和苹果的 相关声明 显示，黑客是通过猜测安全问题、社交工程、网络钓鱼或者其它的“针对性”攻击来获取密码的——而不是苹果本身泄露密码数据。要指出的是，访问iPhone备份文件还可以通过使用身份验证令牌（iTunes创建的一个文件）来获取，这一过程完全不需要用到密码。该令牌可通过恶意程序或网络钓鱼来获取。

不过，苹果和众多的安全专家都称双重验证可防止简单的密码盗取事件。双重验证要求你输入发送到你的设备的验证码来确认是你登陆苹果账号，而不是别人。

然而，苹果的双重验证解决方案实际上并不完整。它并没有覆盖很多其它的iCloud服务，其中包括备份。

事实上，双重验证仅覆盖iCloud的 三项服务 ：

• 登陆苹果ID管理账号
• 在新设备上从iTunes、App Store或者iBookstore购买东西
• 获取苹果官方的ID相关支持

不过，在你在新设备上恢复iCloud备份的时候，它并不要求你输入验证码。黑客正是利用了这一设计“特性”。

有的黑客是利用来自Elcomsoft的手机密码破解软件 Phone Password Breaker 来破解账号密码，在登陆目标用户的苹果账号后，他们会“恢复”iCloud备份，将包括照片等内容在内的数据导出文件夹，然后进行筛选。

即使黑客不能下载一整个备份——又或者账号上未进行备份——他们也仍可以访问用户的照片流，因为该服务同样不受双重验证保护。

所以，即便艳照被盗取的所有女星都启用了双重验证，她们的iCloud备份和照片流仍会被黑客侵入。

如果你觉得这是一个全新的漏洞，苹果不知情，那你就错了。事实上，苹果iCloud备份不受双重验证保护一事曝光已经超过一年了。

在去年年末的Hack In The Box安全大会上，现供职于Elcomsoft的安全研究人员弗拉基米尔•卡塔洛夫（Vladimir Katalov）发表了其对iCloud协议的 研究发现 ，内容包括iCloud有哪些服务受双重验证保护——其实他早在去年5月便 发表文章谈到过这些问题 。更不用说 Ars Technica 、 ZDnet 、 TUAW 等科技媒体的相关报道了。

对于苹果来说，现在的最佳解决方案是扩大其双重验证功能的覆盖范围，使其覆盖所有的iCloud服务，而不只是覆盖账号重置和新设备购物。要求用户在新设备上恢复备份或者登陆账号的时候输入验证码，会是很好的开始。要指出的是， 有传 苹果在扩大双重验证适用范围，纳入其它的iCloud服务，不过这些尚未实施。

对于用户而言，所有的常见建议仍然适用。比如，为你的ID设置复杂的密码，密码别告诉别人，可以的话使用私密的邮箱——你也不会告诉别人的邮箱。任何时候都不要点击电邮中的链接，可以的话别在社交网络上分享自己的个人信息，给密码重置问题设置完全错误或者随机的答案。

启用双重验证肯定能够多带来一层安全保护——但如果盗贼能够获得你的邮箱地址和密码，那你的备份现阶段也无法受到保护。苹果在针对女星账号被黑事件的声明中建议用户启用双重验证来强化账号保护。

对于扩大双重验证覆盖范围问题，苹果尚未作出回应。（译：羽腾）

Apple’s Two Factor Authentication Doesn’t Protect iCloud Backups Or Photo Streams