实习生 / 陈文希

商业 / 大事件

iCloud艳照门背后角力

实习生 / 陈文希

不断出现的网络安全漏洞，酿成互联网公司和黑客无止境的魔道对手戏。

美国时间2014年8月31日，奥斯卡影后詹妮弗·劳伦斯、超模凯特·厄普顿等女星私密照片泄露，得到各方关注，快速发酵成网络热点的同时，也引发了新一轮针对信息安全的担忧。

“知名人士和普通公众要意识到图片和数据已经不再只是乖乖地躺在生成它的设备上了。”Tripwire安全研究员Ken Westin总结道。

与6年前的香港艳照门事件主要肇始于硬件设备经他人之手致使信息泄露不同，这次照片泄露事件是在当事人手机完好、自身完全不知情的情况下发生的。令公众迷惑不解的是，黑客们是如何侵入这些女星的手机的。

随着事件的进一步披露，矛头逐渐指向了iCloud—苹果公司于2011年推出的在线存储和备份服务。用户在iCloud中存储的音乐、照片、APP、联系人和日历等可以无限推送到用户所有支持iCloud同步的设备上，而无需使用连接线。这在给用户带来方便之余也为黑客提供了可乘之机。

当使用云服务时，私人信息变得越来越难以控制。事实上，在最初曝出这些艳照的美国地下分享论坛上已经围绕着iCloud形成了一个黑客圈。圈内人士主要是一批很有能力的黑客，他们源源不断地向顾客—色情内容收藏者提供“货源”。而苹果对于微小安全问题的“不以为意”也在客观上让这个圈子得以持续运转下去。

攻陷云端

8月最后一天的这个周末下午，AnonIB资深用户OriginalGuy突然在AnonIB上发帖公布自己收藏的大量“私货”。AnonIB是著名照片分享社区4chan的分支论坛。论坛上充斥着大量的色情内容，同时还聚集了一批黑客，这些黑客深谙如何入侵iCloud账号获取私密信息之道。

资深用户OriginalGuy首先发布了有码版的女星私密照片，以吸引用户花费比特币观看完整版。

但他的运气并不好，论坛用户们显然都想获取更多照片，但是很少有人愿意为此付费。最终他只拿到了120美元的比特币，这让他感到沮丧，“想想看我花了多少时间和金钱在这上面，我拿到的钱跟期望中相去太远”。尽管如此他还是继续发布了更多的女星私密照片。这正是此次好莱坞女星私密照片泄露事件的源头。

后来发生的事明显超出了OriginalGuy的控制范围。目前还不清楚，流传出来的照片是OriginalGuy一手发布的，还是由其他拥有相同收藏的论坛成员协同发布。

总之，这些照片吸引了成千上万的互联网用户，Reddit等新闻聚合网站加入传播进一步扩大了其影响范围。

可能是意识到自己在地下论坛上发布的照片吸引了广泛的关注，OriginalGuy事后在AnonIB上发帖，声明自己并不是黑客，只是收藏者，照片是他前两天用比特币进行私下交易买来的。

据美国科技媒体Business Insider分析，这些iCloud黑客利用专业的密码破解工具，通过苹果的iForgot密码重设页面猜测攻击目标的安全问题，往往利用一个电子邮件地址就能攻破iCloud账号。

在最初曝出这些艳照的美国地下分享论坛上已经围绕着iCloud形成了一个黑客圈。

一旦侵入用户的iCloud账号，黑客会快速提取账号中的照片，并利用文件检索软件下载照片备份。

苹果公司在两天后的一份声明中确认了这一点，“部分知名人士的账户信息外泄，是因为其用户名、安全提示问题遭到极具针对性的攻击”，但苹果拒绝承认iCloud存在漏洞，“在我们现已完成的调查中，没有任何案例是由Apple系统（包括iCloud和‘查找我的iPhone’功能）的任何漏洞引起。”

而据共享虚拟主机服务站点GitHub上的一条帖子披露，在女星私密照片泄露之前就有用户发现了苹果“查找我的iPhone”服务存在漏洞。这个漏洞允许黑客不停地重新输入密码直到发现准确的密码。在业界，这种目标明确的攻击被称为“暴力破解”。而多数在线服务在用户多次输入无效密码后都会自动锁定账户，以防止暴力破解行为的发生。

人们使用弱密码以及给多个账户设置相同密码的倾向也为黑客们提供了便利。一旦知名人士的“查找我的iPhone”密码被发现，黑客往往就可以使用同样的密码进入其iCloud。

他们设置的安全提示问题也由于其兴趣爱好信息被大量公布在网上而形同虚设。

“这部分源于易用性和安全的矛盾，更多时候，苹果选择了前者，而没有为一些高危险人群提供更强的保护。”独立安全研究员Ashkan Soltani在接受《华尔街日报》采访时这样分析。

目前无法查证这个漏洞是否与此次照片泄露事件有关，但外界评论已经开始将这两个事件联系在一起。OriginalGuy的事后声明表明此次外泄的名人私密照片并非来源于一次性的黑客攻击，而是AnonIB论坛一名黑客历经几个月不断“囤货”的成果。

随着詹妮弗·劳伦斯、凯特·厄普顿等女星私密照泄露事件的进一步披露，矛头逐渐指向了iCloud。

苹果在事发后开始限制密码重试次数，此时距用户报告这个漏洞已经过去了近4个月时间。

苹果式“傲慢”

这种忽视漏洞报告导致延后处理的情况在苹果已经不是第一次发生了。

2012年4月，黑客利用OS X Java里一个没有及时得到修补的漏洞将病毒传染至70万台苹果电脑，形成了一个大规模的OS X僵尸网络。甲骨文公司（Oracle）在当年的2月14日发布了针对Windows Java漏洞的补丁，而苹果直到7周后才正式发布OS X系统补丁，亡羊补牢。

最近的一次事例是，知名黑客Kristin Paget于今年2月底在其个人博客中批评苹果安全团队发现重大漏洞后，虽然在桌面操作系统中进行了修复，但移动操作系统中同样漏洞的修复却延迟了三周。而在Kristin Paget写这篇博客文章的二十几天前，她还是苹果安全团队的一员。后来，她离职去了特斯拉。在苹果任职的一年多时间里，她一直保持“黑客公主”（Hacker Princess）的称号。

据美国科技网站CRN披露，苹果没有定期的补丁更新机制，也没有一个产品安全事件的应急团队。由于这些缺失，苹果对安全漏洞的回应十分缓慢，这也逐渐加深了外界关于苹果态度傲慢的印象。

一定程度上来说，苹果有其傲慢的资本。苹果公司的闭环操作系统一直以安全严密著称，很少有黑客、恶意软件成功入侵苹果系统。苹果曾在广告词中声称苹果电脑比微软个人电脑更安全，这于喜欢挑战的黑客来说就像是在一头公牛面前挥了挥红布。几个月后苹果换掉了这句广告词。

苹果系统的安全得益于其在这方面付出的努力，苹果雇佣顶尖的安全工程师，是FIRST（事件响应与安全组织论坛）的成员，同时跟FreeBSD项目有推进安全方面的合作。但总体来说，苹果似乎更喜欢借助内力而非外力，尽量少地接受来自外界的帮助。这一点在苹果的产品线上也有所体现，作为一家科技公司，其产品涵盖操作系统、软硬件、安全等领域。

在竞争激烈的IT产业这或许是一种保持自身竞争力的有效方法，但是当涉及到安全问题时，如果能与安全研究者等业内人士进行有效沟通，往往能取得事半功倍的效果。苹果在这方面远不及微软、思科、谷歌等供应商。

同样作为美国科技巨头，谷歌在这方面显示出了极大的热情和投入。谷歌不仅是Pwn2Own黑客大赛的主办方，而且从2012年起每年自行举办Pwnium黑客大赛，提供丰厚奖金奖励能够发现谷歌软件产品关键安全漏洞的黑客。就在前不久，谷歌对外公布了一个名为Project Zero的互联网安全项目，团队成员主要是谷歌内部的顶尖安全工程师，他们的唯一使命就是发现、跟踪和修补一些全球性软件的安全漏洞。

如果说安全问题被谷歌当作一种营销手段运用自如的话，隐蔽性则是苹果公司的一大竞争优势，这或许也是导致苹果安全方面问题的部分原因。

“苹果在安全方面的问题部分缘于其注重隐蔽性的文化。在这种文化中，即使是最平常的产品—比如一款简单的软件或安全更新—在正式发布之前都不会向外界透露半点风声。这可能会给外界造成这样一种印象：苹果会忽视最初的安全漏洞报告。”威斯康星大学麦迪逊分校信息科技研究所资深系统工程师Dave Schroeder分析道。他同时是一位颇有影响力的苹果安全专家。

在一位已经从苹果离职的员工看来，苹果严密的保密措施是其继续前进的障碍。“待在苹果最让人绝望的一点就是严格的保密规定，有时候这让我们很难继续我们的工作。苹果在安全方面可以说是站在前列，但是苹果在这方面最大的问题就是他们从来不说。”

苹果安全团队向来低调，很少参与业界研讨会，也不公开发言。安全研究员Richard Bejtlich曾打趣道，“我认识一些去苹果工作的人，后来我就再也没听说过他们的消息”。

实际上，苹果在安全问题方面的“傲慢”与低调正在给外界造成一种其不愿与安全社区合作的印象。“不论什么时候我向苹果报告一个漏洞，都没有回音，或许在苹果看来，安全研究领域的研究不值得信任，跟业内人的合作价值不大。”独立信息安全研究员Joshua Wright抱怨道。专家指出苹果疏于与发现并报告产品漏洞的安全研究者交流，将会把自己置于一个危险的境地。

艳照风险消失？

女星私密照片泄露事件发生后的第6天，苹果CEO蒂姆·库克（Tim Cook）接受了《华尔街日报》的采访。库克重申了苹果声明中着重强调的一点—iCloud服务并没有被黑客“攻破”。他说，这些明星的iCloud账户被盗了，黑客通过正确回答账户设置的安全问题，或者通过钓鱼软件取得了用户ID和密码。

分析人士认为，苹果拒绝承认iCloud的脆弱，或许是考虑到9月9日发布的iPhone 6智能手机以及最新的iOS 8，这些产品都具有与iCloud有关的新功能。

无论如何，苹果为应对此次事件已经打算对其系统做出一些改变。在采访中，库克给出了两方面降低风险的措施。一方面，未来当有人尝试修改账户密码、在一台新设备上恢复iCloud数据时，或有设备第一次登录账户时，苹果将以邮件和推送通知的方式提醒用户。而到目前为止，苹果的通知形式仅限于邮件，当恢复iCloud数据时，用户不会收到任何形式的通知。另一方面，苹果将扩大名为“双重认证”的更高级安全系统的使用，该系统要求用户登录账户时通过三个认证程序中的任意两个：密码、单独的一次性四位数验证码、或是用户注册该服务时获得的一长串访问密钥。

这是OriginalGuy在决定发布照片之前就已经预料到的情况。他很清楚，苹果很快就会对iCloud采取补救措施，自己的做法会导致iCloud黑客和名人照片交易圈遭到打击。“泡沫即将破裂”，他在发布照片的帖子上写道。

监管部门开始介入，美国联邦调查局（FBI）9月1日宣布接到指控说多位名人的网络账号被黑客攻击，导致私密照片泄露，并表示目前已对此指控展开调查。

OriginalGuy本人的正常生活也受到影响，在发送给支持者的一条消息中，他表示已被迫搬迁至新的地点，以躲开相关部门。同时他呼吁支持者使用比特币捐款，以支持他所在的团体未来继续发布这类照片。

而4chan论坛也在着手修改论坛分享规则。除了回应当事人要求并删除非法内容外，4chan称将根据《数字千年版权法》（美国版权法律）的规定，警告通知发布违规内容的用户，多次违反规定的人会被封禁。

风波过后，AnonIB论坛成员开始发帖讨论这一事件对其行业的影响，一些iCloud黑客和名人照片交易者甚至宣称，“这个行业已经完蛋了”。

这种预测不免显得过于悲观。互联网的色情产业链条完备、历史悠久，围绕着iCloud形成的名人照片交易圈仅仅是这个链条上的一个环节。