最近好萊塢明星的富野照片集體曝光，引起了人們的關(guān)注。

事發(fā)后，蘋果iCloud備受媒體關(guān)注。有媒體報道稱，這些照片很可能是黑客利用或攻擊了蘋果的iCloud后獲得的。

蘋果的IOS系統(tǒng)以封閉性為主要特點，為什么會出現(xiàn)這樣的問題？云計算技術(shù)在給大家提供方便的同時，潛藏著哪些信息安全隱患？本期《好奇心》，華商報記者和西安電子科技大學(xué)計算機學(xué)院的多位老師一起通過實驗，看看到底安全隱患有哪些。

實驗時間：9月3日、9月7日

實驗地點：西安電子科技大學(xué)、華商報社

實驗顧問：陜西省網(wǎng)絡(luò)與系統(tǒng)安全重點實驗室副主任，西安電子科技大學(xué)計算機學(xué)院博士生導(dǎo)師、教授沈玉龍，西安電子科技大學(xué)計算機學(xué)院姚青松博士(研究方向為網(wǎng)絡(luò)安全)

實驗人員：西安電子科技大學(xué)陜西省網(wǎng)絡(luò)與系統(tǒng)安全重點實驗室博士研究生高聰、華商報記者

分析

好萊塢女星艷照被竊取有3種可能

這次好萊塢女星艷照泄露的具體原因，蘋果公司在聲明中稱：“我們發(fā)現(xiàn)，某些名人的賬戶名、密碼、安全問題遭到了極具針對性的攻擊?！蔽靼搽娮涌萍即髮W(xué)計算機學(xué)院姚青松博士分析認(rèn)為，從媒體報道中能看出三方面的因素：一是系統(tǒng)，二是賬號，報道所指是系統(tǒng)問題，蘋果回復(fù)指向用戶習(xí)慣，第三個因素是環(huán)境。這三方面都可能導(dǎo)致用戶包括照片在內(nèi)的隱私信息被泄露。

提醒

千萬不要用手機拍私密照片

在“好萊塢女星艷照門”發(fā)生后，專家給公眾三個提醒：

第一，不要重復(fù)使用密碼。重復(fù)使用相同密碼，大大增加被黑客盜取隱私數(shù)據(jù)的風(fēng)險。

第二，雖然利用云端隨時備份數(shù)據(jù)非常方便，但如非必要，建議將iCloud等客戶端的上傳系統(tǒng)功能關(guān)掉。

第三，千萬不要用手機拍私密照片。

姚青松提醒說：“不能控制服務(wù)的安全性，就從控制自己的使用習(xí)慣入手?！币乐故褂萌趺艽a，比如生日密碼、常用短句、規(guī)律數(shù)字等；要及時升級手機系統(tǒng)，對安卓手機用戶來說，要特別防止來源不明的軟件安裝。不需聯(lián)網(wǎng)的程序，就不要給聯(lián)網(wǎng)權(quán)限。重要或敏感文件不要在云端存儲。如果必須在云端存儲，最好先自主加密。

華商報記者馬虎振

實驗驗證

實驗1

兩分鐘故意輸錯密碼10次“查找我的iPhone”并不拒絕再嘗試

“查找我的iPhone”是蘋果手機中一個重要的APP，用它不僅可以尋找丟失的手機、發(fā)出響聲和信息、查看手機所處的位置、甚至擦除手機上的數(shù)據(jù)，在iOS7系統(tǒng)中還有一個“激活鎖”的功能，只要開啟“查找我的iPhone”，別人想使用你遺失的iPhone、iPad或iPod touch，必須要輸入Apple ID和密碼，否則就無法使用。

這個非常實用的APP怎么會被認(rèn)為有漏洞呢？華商報記者進(jìn)行了登錄實驗。

華商報記者打開iPad上“查找我的iPhone”，輸入朋友的Apple ID，然后隨便輸入登錄口令，無法進(jìn)入。而在兩分鐘內(nèi)故意錯誤輸入登錄口令十次，都得到“您的Apple ID或密碼不正確”的提示，但并不拒絕再次嘗試。

專家說，這會給黑客使用特殊軟件進(jìn)行“暴力破解”留下可能，只要時間足夠，破解密碼是有可能的。但I(xiàn)OS系統(tǒng)是封閉性的，對于沒有“越獄”的設(shè)備來說，所有APP都來自AppStore或iTunes Store，蘋果公司是不可能允許不利于其設(shè)備的App進(jìn)入APP市場的。

而如果黑客想利用電腦端的“查找我的iPhone”進(jìn)行“暴力破解”，前提必須要登錄iCloud賬號，這就要求知道用戶的AppleID和密碼，對黑客就沒有意義了。

實驗總結(jié)：

想用“查找我的iPhone”不限制口令輸入次數(shù)這一特點，來“暴力破解”獲得登錄口令，并不容易。另外，對已“越獄”的iPhone和安卓手機，因為沒實驗，不好做結(jié)論。但由于安卓系統(tǒng)的開放性，幾位老師都認(rèn)為導(dǎo)致安卓用戶隱私泄密的途徑，可能更多源于不良軟件的安裝及木馬病毒等。

另外在實驗中，高聰和華商報記者都發(fā)現(xiàn)，蘋果公司已升級了iCloud的相關(guān)軟件。

實驗2

用網(wǎng)上泄露的郵箱賬號密碼登錄蘋果賬號竟然成功進(jìn)入

因為很多人擔(dān)心記不住密碼，就會用常用郵箱申請Ap-ple ID，并使用相同密碼，這給黑客留下了線索。

2011年12月，某網(wǎng)站安全系統(tǒng)遭黑客攻擊，600萬用戶的登錄名、密碼及郵箱遭到泄露。若有人還用這樣的郵箱申請AppleID，會有危險嗎？

高聰從網(wǎng)上下載了一份資料，選擇了一些泄露的郵箱賬號及登錄密碼。然后打開iCloud官網(wǎng)，逐一進(jìn)行嘗試。結(jié)果，輸入的大部分賬號和密碼都顯示為錯誤。但使用其中一個賬號時，竟然登入了iCloud。點開后，頁面上有“郵件”、“通訊錄”、“日歷”、“備忘錄”、“提醒事項”、“查找我的iPhone”以及“Pages”、“Numbers”、“Key-note”等幾個模塊，但并未見到有照片模塊。出于對用戶隱私的尊重，他抓了一個屏幕截圖，就退出了該賬戶。

華商報記者在電腦上打開iCloud官網(wǎng)，輸入自己的Ap-ple ID和密碼，結(jié)果發(fā)現(xiàn)自己常用郵箱里的郵件、手機上存的數(shù)百個電話號碼、備忘錄上記錄的內(nèi)容、重要事情的提醒都可以看得到?！癙ages”、“Numbers”、“Keynote”三個模塊，由于手機上未安裝，打開后看不到資料。

利用云計算技術(shù)，人們只要記住自己的登錄賬號和密碼，換新手機時只要輸入賬號和密碼，通訊錄等已備份過的內(nèi)容就會轉(zhuǎn)移到新手機上。這些數(shù)據(jù)、照片被保存在各種云上，可以很方便地在不同設(shè)備上調(diào)取查閱，增加了易用性，但其安全性顯然不如保存在本地。可如果用戶拒絕使用云技術(shù)，這么多信息倒騰一回還真不容易。

實驗3

上傳到云端且已共享的照片想要刪除不容易

好萊塢女星艷照泄密事件發(fā)生后，有明星表示，這些照片是多年前拍攝的，很久前就已刪除。為何這些照片還是被黑客竊取到，報道中有專家表示，是黑客利用了iCloud云端的特性。一般來說，云端功能都有“留底”的做法，本意是為避免用戶失誤刪除檔案，可以通過“備份”重新取得檔案，就這個“留底”功能讓黑客有機可乘。

徹底刪除云端的照片很難嗎？華商報記者打開自己iPad的照片流，選定朋友的iPhone手機號后新建共享流，并上傳了幾張照片。朋友可以評論、可以上傳照片。記者可以隨時將自己創(chuàng)建的共享照片流里的照片(包括自己和朋友上傳的)刪掉，但自己圖庫里的原圖依然還在。而朋友一旦將記者上傳的照片流里的照片保存到其手機中，記者就無法刪除了。

這只是點對點的傳送和共享，想要判斷自己上傳的照片是否被徹底刪除，都不是自己能確定的。而如果在較大范圍共享，或直接上傳到公共網(wǎng)絡(luò)，想要再刪除幾乎不可能。

西安電子科技大學(xué)計算機專業(yè)碩士研究生張華慶說，上傳到云端的照片和數(shù)據(jù)需要備份幾份是運營商決定的。刪除了客戶端的照片，云端的照片依然可能存在，只是用戶看不見而已。“所以，互聯(lián)網(wǎng)上沒有刪除鍵?！笨磥韺τ趷酆米耘那蚁矚g共享的手機用戶來說，最好還是別把隱私信息存在手機里，否則“明星們的煩惱”不知道什么時候就可能會降臨到你身上。

專家解說

手機系統(tǒng)、賬號、使用環(huán)境都對信息安全有影響

系統(tǒng)：更新系統(tǒng)會減少泄密的可能

“如果系統(tǒng)不限制密碼嘗試的次數(shù)，黑客就可以利用專門的軟件進(jìn)行破解?！蔽靼搽娮涌萍即髮W(xué)計算機學(xué)院姚青松博士說，解決這個問題其實并不復(fù)雜，比如可以用錯誤多少次之后鎖定賬號的方法，也可以用“兩步驗證”。通俗來說，就是用戶在某些網(wǎng)站登錄時，手機還會收到驗證碼信息，只有兩串?dāng)?shù)字都輸入正確時，才能登錄成功，這樣可以減少黑客破解手機的可能。此外，及時更新系統(tǒng)也會減少泄密的機會。

而系統(tǒng)的易用性和數(shù)據(jù)的私密性之間，也會產(chǎn)生矛盾。比如使用蘋果的照片流或其他的云APP共享了照片，這樣是方便了交流，但照片只要上傳到網(wǎng)絡(luò)，用戶信息的私密性就可能受到威脅。

賬號：用戶的使用習(xí)慣對賬號安全影響很大

“賬號和用戶的習(xí)慣息息相關(guān)，因為如果不能控制服務(wù)的安全性，還可以選擇從個人習(xí)慣入手，來保證自己的數(shù)據(jù)安全和個人隱私?！币η嗨烧f。

為防止黑客攻擊，登錄口令的設(shè)置不能用弱密碼，不能用生日或容易猜到的短口令做密碼，否則很容易被破解。

不能所有賬號都用同一個密碼。比如用同一個QQ郵箱注冊微信、蘋果ID等各類賬號，還使用相同的密碼，這樣很容易讓黑客破解。

為解決記不住密碼和賬號的問題，有人推薦使用密碼管理軟件，但這樣的軟件能否靠得住也很難說。所以，最好是將各種重要賬號及密碼加以區(qū)別，把不重要資料與重要資料完全隔離。這樣不重要賬戶口令弱一點也影響不大，賬戶泄露了也不會泄露個人的重要信息。

環(huán)境：用免費WIFI口令有可能被竊取

姚青松提醒說，這里所說的環(huán)境，一指具體空間環(huán)境，二還包括網(wǎng)絡(luò)環(huán)境。登錄重要賬號，首先要避免周圍的人和公共場所安置的攝像頭，以防因偷窺而泄密；此外還要避免使用不熟悉的免費公共WiFi，因為只要用了人家的WiFi，你的賬號、密碼等信息就必然要經(jīng)過人家的無線路由器，人家要竊取你的賬號、密碼并不困難。

《華商報》好奇心在4月8日的報道中，曾針對WiFi被黑客蹭網(wǎng)的后果做過實驗。實驗顯示，如果黑客別有用心，在控制了無線路由器后，可以劫持他人的微博、微信、人人網(wǎng)、QQ號碼、手機號甚至照片等隱私信息。而一旦iPhone用戶的Apple ID和登錄口令被竊取，利用蘋果的iCloud服務(wù)，就可以很容易地獲取用戶備份在云端的通訊錄、照片等個人隱私。

姚青松說，上傳云端的數(shù)據(jù)最好自主加密，否則，“云端”管理者有可能看得一清二楚。