一 “洞” 未平一 “洞” 又起——苹果新漏洞被曝光
几天前,苹果发布了 iOS 6.1.3,修复了锁屏状态下可以打电话、看邮件的漏洞,还启用了新的两步安全验证机制,加强对用户的 Apple ID 和 iCloud 帐户的保护。不幸的是,一天之后,新的漏洞出现了。
据 VentureBeat 报道,本周五,一个新的安全漏洞会对所有未启用两步安全机制的用户造成影响。
利用这个漏洞,使用者只需要邮箱地址和机主的出生日期,然后登陆苹果的 iForgot 网页,在回答安全问题时将修改后的 URL 地址粘贴进去,就能够随意重置 Apple ID 和 iCloud 密码。
在收到用户的反馈后,苹果已经将官网上的 iForgot 网页暂时关闭,并且对外承认了这一个漏洞,并承诺会尽快将漏洞修复。据了解,此漏洞只适用于美国、英国、澳大利亚、爱尔兰和新西兰等已经推进两步安全验证政策的地区,中国大陆不在此范围内。
不过,多名受害者表示他们需要等待 3 天才能启用新的验证机制,在此期间这些帐户极易遭到攻击。避免再次遭到攻击的唯一方式就是通过苹果的帐户设置页面修改自己的生日。
现在,苹果的密码重置工具处于 “正在维护” 状态,无法使用。
所谓两步安全验证机制主要两种情形下会用到:更改 Apple ID 密码,或通过另外一部 iOS 设备在 iTunes 商店里购买应用。
用户首先需要到苹果官网 Apple ID 管理页面启用该服务,设置一个 8 位密码,然后使用 iPhone 或 iPad 接收验证码了。苹果随后通过短信或是 Find My iPhone 向用户发送验证码。
当用户重置自己的 Apple ID 时,苹果会向预先设定的受信任设备发送安全码,填入验证码后即可正常使用。一旦开启该功能,新的安全验证系统会替代传统的安全问题。如果用户忘记密码或锁定手机,可以通过发送的密钥进行恢复。