iCloud被黑主因：Python腳本攻擊Find My iPhone漏洞

        蘋果 Find My iPhone API 存在漏洞，允許不受限制的嘗試用戶賬號和密碼，在多次試錯后不會被鎖定。黑客于 8 月 30 日在 GitHub 上上傳了所謂的概念驗證工具 ibrute，設計對 Find My iPhone 賬號發動暴力破解攻擊。

        蘋果于 9 月 1 日修復了該漏洞。暴力破解工具會不斷嘗試電子郵件和密碼組合。一旦成功破解，攻擊者就可以訪問 iCloud 賬號 ，獲取儲存的備份。

        據一份報告指出，一個攻擊 iCloud 賬戶的 Python 腳本已經浮出了水面，而且它顯然利用了 Find My iPhone 功能的漏洞。

        據悉，采用這種攻擊方式來“暴力窮舉”iCloud 賬號的話，不僅不會被封鎖，還不會向賬號持有人發出警告。

        據 The Next Web 報道，該腳本于本周一被放到了 GitHub 上，并且嚴重歸咎于 Find My iPhone 服務竟然沒有對密碼嘗試次數作出限制。

        一旦賬號密碼被破除，攻擊者就可以肆意訪問蘋果所提供的全部服務。不過蘋果已緊急將嘗試上限設定為五次，腳本作者也證實蘋果已封堵上這一漏洞。

        據腳本作者(推ter 用戶) Hackapp 所述，該漏洞“在所有提供很多認證接口的服務中普遍存在”，而攻擊者只需掌握簡單的嗅探知識和反向技巧就能得逞。

        最后，盡管該腳本的出現時間與名人不雅照泄露發生的同一時間，但目前沒有任何直接證據可以把兩件事聯系到一起，蘋果公司也尚未對此事發表評論。

                    <span id="shareA4" class="fl">   

                        </span>