iCloud被黑主因:Python脚本攻击Find My iPhone漏洞

jopen 10年前

        苹果 Find My iPhone API 存在漏洞,允许不受限制的尝试用户账号和密码,在多次试错后不会被锁定。黑客于 8 月 30 日在 GitHub 上上传了所谓的概念验证工具 ibrute,设计对 Find My iPhone 账号发动暴力破解攻击。

        苹果于 9 月 1 日修复了该漏洞。暴力破解工具会不断尝试电子邮件和密码组合。一旦成功破解,攻击者就可以访问 iCloud 账号 ,获取储存的备份。

        据一份报告指出,一个攻击 iCloud 账户的 Python 脚本已经浮出了水面,而且它显然利用了 Find My iPhone 功能的漏洞。

iCloud被黑主因:Python脚本攻击Find My iPhone漏洞

        据悉,采用这种攻击方式来“暴力穷举”iCloud 账号的话,不仅不会被封锁,还不会向账号持有人发出警告。

        据 The Next Web 报道,该脚本于本周一被放到了 GitHub 上,并且严重归咎于 Find My iPhone 服务竟然没有对密码尝试次数作出限制。

iCloud被黑主因:Python脚本攻击Find My iPhone漏洞

        一旦账号密码被破除,攻击者就可以肆意访问苹果所提供的全部服务。不过苹果已紧急将尝试上限设定为五次,脚本作者也证实苹果已封堵上这一漏洞。

        据脚本作者(推ter 用户) Hackapp 所述,该漏洞“在所有提供很多认证接口的服务中普遍存在”,而攻击者只需掌握简单的嗅探知识和反向技巧就能得逞。

        最后,尽管该脚本的出现时间与名人不雅照泄露发生的同一时间,但目前没有任何直接证据可以把两件事联系到一起,苹果公司也尚未对此事发表评论。

来自: cnBeta