好莱坞艳照门事件苹果在推卸责任

　9月3日凌晨消息，苹果公司对名人iCloud账号被黑事件作出了回应，称未发现iCloud云存储遭大规模侵入迹象，这一事件导致多名好莱坞女星的艳照外泄。

　　苹果公司发表声明称：“我们想要为某些名人照片被盗相关调查提供更新。当得知被盗事件后，我们感到十分愤怒，马上派出苹果公司的工程师去查明原因。用户隐私权和安全性对我们来说是至关重要的。在经过40余个小时的调查后，我们发现某些名人账号遭到了针对用户名、密码和安全问题的定向攻击，这在网上已变得非常普遍。我们调查的所有案例都并非由于iCloud或Find My iPhone等苹果公司的系统遭到了入侵。我们正在继续与执法机关合作，以帮助其找到相关犯罪分子。”

　　声明还称：“为了为这种攻击提供保护，我们建议所有用户使用强度较高的密码，并激活两步认证程序。我们已在公司网站上说明这两点。”

　　在我看来，苹果的这个声明主要是想撇清责任，指出是好莱坞女星自己对于密码保管不当，导致黑客获取了她们的密码而进入其iCloud空间，而iCloud本身并没有遭到系统性攻击，即使有些漏洞，也已经修复。

　　这番表态的确有点令人感觉推卸责任的味道，根据早先的报道， Find My iPhone 使用的API允许无限制地尝试iCloud账号密码，这就是一个非常严重和低级的错误，黑客完全可以通过暴力枚举的方式来攻击某个用户的密码，如果其密码设置不够强壮，就有可能会被猜中。显然苹果对其系统安全策略设置不当导致用户账户存在较大风险。

　　其次，苹果不能要求所有iPhone使用者都有高超的安全密码管理能力，的确，如果用户懂得分级密码设置，同时设置一个强壮的密码，黑客穷举也很难破解，然而，苹果难道不应该对于一些明显的异常攻击做出一些防御措施吗？至少应该主动屏蔽一些不安全的访问，例如异地登录的时候自动启用两步验证等，易用性好固然是用户的需求，但有时安全性往往比易用性更重要，特别涉及隐私信息的情况下。

　　最后，苹果给出的“两步验证”也并不是一个最佳的解决方案，首先苹果目前的“两步验证”易用性还并不太好，至少不如谷歌的“两步验证”好用，其次，iPhone的“两步验证”也有一个悖论，当用户手机被盗后，用户反而会因为丢失手机而无法使用两步验证，导致不能立刻登录iCloud进行锁定手机的操作，从而让手机内信息泄密的风险加大，等用户回到家找到“两步验证”恢复密钥的时候，手机上的隐私信息可能已被窃取，而如果将“两步验证”恢复密钥保存在第三方网盘或邮箱，则该网盘或邮箱一但被黑客攻破，即可通过“两步验证”恢复密钥来重置动态密码，带来另一种风险。

　　实际上，当前流行的云服务可能都或多或少存在安全隐患，用户将数据都保存在云端是十分危险的，很多苹果用户并没有意识到iCloud账户被黑而带来的可怕问题。一旦黑客成功入侵了用户的iCloud账户，不但可以查看用户同步到云端的照片和邮件，还可以远程删除用户iPhone和iPad上的数据，给用户造成不可挽回的损失。因此，苹果手机的用户需要认清iCloud账户的重要性，设置安全的iCloud密码，并确保iCloud登录邮箱帐号的安全性，不要将隐私信息放在iCloud上，以免因为一时疏忽而造成无法挽回的损失。