头号研究社-海外苹果ID购买注册|海外苹果礼品卡及Arcade订阅|海外账号购买、教程北京青年报2015-09-05 07:43:09
对于苹果电子设备用户来说,Apple ID及其公钥并不孤单,买了新电子设备想转化成会用它,下载应用会用它,进行关键设置更动时也会用它。从最近发生的新闻报道看,连犯罪分子都开始瞄上了它。Apple ID究竟有多关键,犯罪分子为什么会瞄上它?AppleID公钥失窃,后果有多严重?
试验时间:
8月30日、9月1日
试验相关人员:
记者、爱心市民沈老伯
试验电子设备:
三部iPhone智能手机(操作系统均为ios8.4)、一部笔记型电脑
试验顾问:
成都电子科技大学互联网与互联网安全大学教授、中华人民共和国教育部互联网安全团队骨干分子刘凤仪,互联网与互联网安全大学教授崔艳鹏
>>新闻报道事件
iPhone6被偷后ID又解套 为解绑电子设备遭骗钱2000元
网友鹨鳴7月28日发博客称,3月15日他的iPhone6在成都大西门不远处被偷。随后几个月他不断接到钓电子邮件要骗取他的Apple ID公钥。7月25日晨上,他接到你的ID公钥被试著抹除,但由于试著单次太多被注销的告诫后,他上了苹果官方网站去修正公钥,但因偷智能手机的那些人试著修正公钥单次过多被注销修正不了。隔天他接到告诫,公钥已被抹除,ID关联的电子邮箱也被更换。他正来电,智能手机忽然没声了,介面也出了问题,原来旁人将他智能手机内容抹除并瞄准了。他赶紧看家人智能手机,也都出现了同样的情况。而他在同一个Apple ID下共存取了10部苹果电子设备。后来旁人通过QQ与他联系,开价2000元给装箱弹出,他不得不给旁人打了钱。
小学生iPhone6被偷后被钓网站套走ID公钥
8月29日北京青年报曾报道,8月27日晨8分许,高三男孩幼童和老师在成都燕东不远处闲聊,忽然发现iPhone6不见了。她用老师的智能手机登入苹果iCloud官方网站,跟踪遗失智能手机。隔天,老师来电说接到一条手机短信,布季谢电子邮箱镜像,给幼童转贴了过来。幼童登出来输入信息后,智能手机彻底去向不明。
这条手机唐姓为:您迈入遗失模式的iPhone电子设备在苹果授权店面No.0326服务项目点申请ROOT转化成服务项目,若非您本人,请登入截击……,手机短信里有一个电子邮箱镜像。
幼童妈妈赵老伯拨打苹果客服相关人员,客服相关人员相关人员说他们是不会发手机短信向客户索取个人隐私的,并认定赵老伯接到的电子邮箱镜像为钓网站,Apple ID已解套走。8月27日晨,赵老伯向公安新城分局自强路派出所报案。
>>马上试验
试验1 ID公钥泄露究竟能看到什么?
备份在云端的通讯录、照片等都能看到
从新闻报道报道来看,当事人ID公钥泄漏多是因为上了钓网站的当,在仿冒的苹果官方网页填写了自己的ID公钥解套走。所以试验模拟的情景是,市民沈老伯iPhone5的Apple ID及公钥已被扮作黑客的记者成功骗取,黑客通过互联网对该智能手机进行操作。
试验开始,黑客在电脑上打开苹果官方iCloud登入页面,然后输入已知的沈老伯的Apple ID及公钥。成功登入后,便看到了12个APP图标,分别为:电子邮件、通讯录、日历、照片、iCloud Drive、备忘录、告诫事项、Pages、Num-bers、Keynote、查找我的iPhone、设置。在浏览器右上角还能看到沈老伯的全名。
这12个APP均可登出来。登出来电子邮件APP后,已发送电子邮件可登出来查看,通讯录中所有联系人的姓名电话历历在目,备忘录里记录的文字不仅能看而且能改能新建,告诫事项里已计划的照相事项显示为已完成,照片打开后可以看到照片流里的照片。点击查找我的iPhone后,可以查看到机主正位于城南一家小区不远处,其他的APP也都可登出来。
这样的体验,简直和看自己的智能手机一样方便,仅仅掌握了一个ID公钥,就可以这么轻松地获取如此多的个人隐私,ID公钥一旦被犯罪分子掌握后会怎样?简直不敢想象。
这是不是因为机主登入了iCloud的原因?如果从iCloud注销会怎样?
记者拿出自己的 iPhone 智能手机,并从iCloud注销,然后在电脑上登入自己的Apple ID,看到的情形却依然和沈老伯智能手机一样。12个APP依然历历在目,电子邮件里的已发送电子邮件、通讯录里的姓名和电话号码、备忘录里的记事等全都可以查看。看来如果被人窃取了ID账号和公钥,即便发觉后从iCloud注销,以前在云端备份的信息也照样可能被窃取。
怎么办?看来只能在电脑端动手删了!但是删掉了互联网上的信息,服务项目器上的信息能同步删除吗?
试验总结
成都电子科技大学教授崔艳鹏:Apple ID已成为用户通往苹果整个云服务项目体系的必经也是唯一通道,通过Apple ID账号和公钥,可以接触到所有存储在苹果iCloud云端服务项目的数据,例如,电子邮件、通讯录、备忘录、照片流等。若Apple ID被犯罪分子窃取,他们可以轻松地通过电子电子邮件、iMessage手机短信以及云端备份来获取App数据、App设置、系统设置(不包括独立服务项目公钥或是第三方应用公钥)以及备份在云端的照片、视频、手机短信、电子邮件等。即便从iCloud将电子设备注销,其实也只是退出,并非将账号彻底删除,隐私数据还依然保存在云端。
试验2 除个人隐私可能遭窥探还可能面临什么问题
可远程操作智能手机设置 存取信用卡 可能会失窃刷
为此,北京青年报记者继续扮作黑客,对沈老伯的Apple ID账户进行操作。点击发现,12个APP每个都可以操作:电子邮件可以新建、发送、删除。通信录可以导入、导出、删除、打印。打开查找我的iPhone可以让沈老伯的智能手机播放铃声,并可将其设为遗失状态,操作非常顺利。撤销遗失模式后,沈老伯的智能手机被设了公钥,需要输入记者设定遗失状态时输入的公钥才能开机。对设置APP进行操作,甚至可以对沈老伯的Apple ID进行管理和修正。
从新闻报道报道来看,ID公钥被钓有两种情况:一种是智能手机遗失后,机主启用了查找我的iPhone将智能手机设为遗失模式,拿到智能手机的人要想使用这台智能手机,必须要弹出后才能打开智能手机,而要想抹掉电子设备上的数据改用新ID转化成,就必须要知道原ID账号及公钥。这样做的目的,是为了破解电子设备。
另一种是智能手机虽然在机主手里,但Apple ID却被人钓走了,犯罪分子通过在苹果官方iCloud网页登入后,利用查找我的iPhone和钓来的ID和公钥,将开着查找我的iPhone的电子设备瞄准,使机主用不成智能手机借此敲诈钱财。
这两种情况都和查找我的iPhone有关。第一种情形,一旦机主的ID公钥解套,犯罪分子迅速进行账号设置,电子设备从此就和机主没有关联了,想要找回电子设备难上加难;第二种情形下媒体报道的事件多是为了骗钱。
但其实,Apple ID被窃取的潜在危害不仅只是财产损失。由于APP上传在云端的隐私数据各种各样,遇到别有用心的犯罪分子窃取这些私密信息进行恶意利用,加之机主的具体地址、作息习惯等隐私信息可能被犯罪分子实时监控,带来潜在的威胁不言而喻。如果这扇门被打开时,机主毫无察觉,这又该多么可怕?不过沈老伯说,好在黑客登入进行操作时,她的电子邮箱会接到告诫。
试验总结
崔艳鹏:Apple ID被窃取,犯罪分子可以使用查找我的……服务项目来远程抹除Apple ID关联的iPhone智能手机或者iPad平板电脑。虽然该服务项目可以在苹果电子设备遗失时帮助机主进行跟踪定位,为寻找电子设备提供线索,但Apple ID公钥一旦泄露,反而有可能被犯罪分子利用,来远程抹除电子设备,成为对机主进行敲诈和操控的工具。而通过Apple ID在iCloud窃取的App数据、App设置、系统设置、照片、视频、手机短信、电子电子邮件、通讯录等则有可能被犯罪分子贩卖给不同的人,他们甚至可能通过通讯录等信息,对机主的亲人朋友行骗。
如果Apple ID存取了信用卡,则信用卡可能会失窃刷。
试验3 ID公钥被钓后如何进行反制
要通过电子邮箱验证等方式抹除ID公钥
苹果公司IOS部门一线技术顾问王老伯表示,首先要及时通过电子邮箱验证或密保问题验证等方式抹除ID公钥,以保护自己账户的数据安全。公钥抹除成功后,建议先关掉查找我的iPhone,这样即便ID还被犯罪分子盯着,由于没启用查找我的iPhone,旁人就是再次盗取了ID公钥也无法锁机。
若遭窃的Apple ID公钥抹除成功后,原来的账户还要继续使用,建议同时把主电子邮箱也更改一下。改变主电子邮箱后,虽然Apple ID看似变化了,其实用的还是原来的账号。
为提高安全性,还可以迈入两步验证,开通以后在需要输入ID账号公钥时,系统会给智能手机发送验证码。迈入两步验证后,遭破解的可能性很小。但如果所处环境通信信号不好的话,可能会给使用带来一些不方便。另外,两步式验证的14位安全密钥如果遗忘,是无法找回来的,一定要牢记。
还可以创建一个新ID,不过这样一来旧ID下载的应用可能就没法用了。有的人旧智能手机丢了,买了新智能手机还用老账号,这样也会存在一定隐患,建议最好更改为新ID和公钥。
有时,犯罪分子甚至把与Apple ID关联的主电子邮箱的公钥也窃取了,甚至连找回公钥的密保问题也做了更改,这样的话就没有办法再找回了。
按照苹果公司技术顾问的介绍,北京青年报记者试著进行两步验证设置,发现初次设置后需要再等三天进行第二次设置。
苹果技术相关人员:
迈入遗失模式电子设备官方售后不接受
是否能暂扣电子设备?苹果公司回应称不是执法部门
去年就曾发生过好莱坞影星艳照门事件,苹果公司有没有采取相应技术措施加以应对?
对于这个问题,苹果公司IOS部门一线技术顾问王老伯表示,当用户使用苹果电子设备和云技术给生活带来便利时,苹果公司其实已将个人账户的权限和责任下放到客户手中了。密保技术也在发展,但技术开发需要时间。Apple官方对公钥设置的要求很严格,比如不能重复、区分大小写等,去年年底还推出了两步式验证。另外,系统对于个人账户的管理设置有参数,若发现异常就会立即停用账号。
根据媒体报道的事例,一些失窃的苹果电子设备被人采取技术手段ROOT重新使用。王老伯表示,虽然ROOT很简单,但刷完机还是需要转化成的,不能转化成是不能用的。苹果官方售后有自己的工作原则,比如发现送来的电子设备若被机主迈入了遗失模式,官方售后是绝对不会接手的。至于个别机主提出来的能否帮助机主暂时扣押电子设备的问题,苹果公司毕竟不是执法部门。
>>特别告诫
1、使用苹果电子设备要有信息保护意识
成都电子科技大学刘凤仪教授告诫苹果智能手机用户,苹果电子设备的使用体验好,是由于它是建立在云技术基础上的。正因为这个原因,电子设备里的通讯录、照片、备忘录、电子邮件以及应用数据、个人隐私等可以被及时同步。但个人隐私和隐私数据一旦被传上云端,保密性就会大打折扣。互联网上没有删除键,数据一旦上传,备份的数量不是机主能完全掌握的。而这些保存在云端的数据,安全性就依赖于一个ID账号和公钥。若ID公钥被窃取,在互联网平台上看的就直接是明文数据。所以使用苹果电子设备一定要有个人隐私保护意识和信息保护意识,不要在云端备份诸如信用卡号、关键公钥、关键工作信息、与联系人的关系、私照等内容。
如果机主的是工作性质需要保密,或个人事务极其关键,尽量不要打开iCloud。对于存在云端的数据,有必要及时进行整理删除。另外,使用查找我的iPhone时,也要防止被人反制。
2、一定不要轻信各种带电子邮箱镜像的告诫
刘凤仪教授表示,有的用户账号容易失窃,可能还是跟个人使用习惯有关系。她告诫用户,公钥设置要有技巧,比如可以大小写、字母数字混合、注意长度,并定期进行更换。要防止使用弱公钥,比如生日公钥、常用短句、规律数字等。另外,要及时升级智能手机系统,不要越狱,越狱后电子设备更容易遭攻击。不要轻信各种带有电子邮箱镜像的告诫。Apple ID公钥被窃,通常都是被犯罪分子通过钓网站、钓电子邮件、钓手机短信、钓电话骗取到的。所以苹果电子设备智能手机遗失后,不要轻信各种看起来非常切合情境的手机短信、电子邮件等形式的告诫,尤其不要点击来自各种途径的不清楚的镜像。
未经允许不得转载:头号研究社-海外苹果ID购买注册|海外苹果礼品卡及Arcade订阅|海外账号购买、教程 » AppleID密码被盗有啥严重后果?来看如何防范
