《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 模擬設(shè)計(jì) > 業(yè)界動(dòng)態(tài) > 那些年蘋(píng)果網(wǎng)站被黑的血淚史

那些年蘋(píng)果網(wǎng)站被黑的血淚史

2017-09-29
關(guān)鍵詞: 蘋(píng)果 網(wǎng)站 APP 屏幕

據(jù)外媒報(bào)道,上周三在社交媒體上出現(xiàn)了一些針對(duì)蘋(píng)果開(kāi)發(fā)者網(wǎng)站的投訴,蘋(píng)果開(kāi)發(fā)者網(wǎng)站已經(jīng)連續(xù)幾個(gè)小時(shí)無(wú)法訪問(wèn),最初有報(bào)告稱是因?yàn)樾枰S護(hù),。不過(guò)現(xiàn)在一些開(kāi)發(fā)者在推特上透露,蘋(píng)果開(kāi)發(fā)者網(wǎng)站可能正在被黑客攻擊,。一些開(kāi)發(fā)者的賬戶地址被改為俄羅斯的同一個(gè)地址。

最開(kāi)始一位名叫David Negron的開(kāi)發(fā)人員(自稱是Productiontrax.com的創(chuàng)始人)首先注意到這個(gè)問(wèn)題,他發(fā)推文稱,,“所有開(kāi)發(fā)者的帳戶地址都被顯示為俄羅斯的一個(gè)地址?!?/p>

另一位開(kāi)發(fā)人員@Kaiusee發(fā)推文稱,,他檢查了四個(gè)不同的蘋(píng)果開(kāi)發(fā)者帳戶,發(fā)現(xiàn)所有賬戶都顯示了相同的地址:“bul. Novatorov,, Saint-Petesburg,, Leningrad, 198216,, Russian Federation,。”

好在現(xiàn)在已經(jīng)恢復(fù)正常,,這個(gè)問(wèn)題實(shí)際上是由一個(gè) bug 引起的,。

蘋(píng)果表示:“由于我們的賬戶管理應(yīng)用程序中的一個(gè)錯(cuò)誤,開(kāi)發(fā)者中心內(nèi)的賬戶信息被暫時(shí)錯(cuò)誤顯示了出來(lái),,所有受到影響的開(kāi)發(fā)者的賬戶地址均顯示為同一個(gè)錯(cuò)誤地址,。這個(gè) bug 已經(jīng)得到了解決,開(kāi)發(fā)者的地址信息現(xiàn)在已經(jīng)可以正確顯示,?!?/p>

回想十年的開(kāi)發(fā)之路,蘋(píng)果屢屢遭受黑客越獄,,但是并沒(méi)有起訴過(guò)誰(shuí),,真是宰相肚里能撐船啊~下面就讓我們來(lái)屢屢那些年蘋(píng)果是如何在被黑的道路上越挫越勇的!

初代iPhone太腦殘,?黑客出來(lái)搞事情

iPhone越獄網(wǎng)站Cydia創(chuàng)始人Jay Freeman對(duì)第一代iPhone的評(píng)價(jià)是這樣的:“它本質(zhì)上是一個(gè)小的上網(wǎng)平板,,只是碰巧有了一些稀爛的手機(jī)功能而已?!?/p>

Jay Freeman

對(duì)于這么腦殘的初代iPhone,,以Jay Freeman為代表的黑客們看不下去了,在過(guò)往的10年中兢兢業(yè)業(yè),,為蘋(píng)果手機(jī)研發(fā)出很多新功能,。

2007年7月9日,在初代iPhone正式發(fā)售不到一個(gè)月,,第一個(gè)越獄工具發(fā)布了,。雖然當(dāng)時(shí)的越獄工具極其簡(jiǎn)單,只能被用于更換鈴聲,、壁紙等,。但在當(dāng)時(shí),,越獄所代表的,是一種自由的精神,,意義在于反抗大公司的控制,。為了破壞蘋(píng)果所設(shè)立的“墻”,讓iPhone用戶擁有一臺(tái)真正屬于他們自己的手機(jī),,眾多業(yè)余開(kāi)發(fā)者紛紛獻(xiàn)身于研究越獄漏洞的偉大事業(yè),。

Cydia在2008年2月所推出的越獄功能,為用戶提供的權(quán)限已經(jīng)比現(xiàn)在的App Store更大,。用戶不僅可以下載應(yīng)用,、游戲和程序,而且還可以下載“調(diào)整”工具,。比如你可以重新設(shè)計(jì)主屏幕的布局,,下載廣告攔截器,對(duì)存儲(chǔ)卡擁有更多的控制權(quán),。

果然,,iPhone很爭(zhēng)氣的發(fā)展成為了一個(gè)充滿活力、多元化的生態(tài)系統(tǒng),。

樹(shù)大招風(fēng),,攻擊連連

l 2011年7月一個(gè)名為“匿名者”的黑客組織稱已攻克蘋(píng)果的服務(wù)器,并公布了蘋(píng)果網(wǎng)站的27個(gè)用戶名及其登陸密碼,。安全專家指出,,該黑客組織曾多次攻擊與維基解密及其創(chuàng)辦人朱利安·阿桑奇為敵的公司和機(jī)構(gòu)。

l 2013年2月的一次大規(guī)模攻擊,,包括蘋(píng)果,、Facebook和Twitter在內(nèi)的科技公司網(wǎng)站紛紛遭遇了黑客入侵事件。

據(jù)Facebook針對(duì)被黑事件調(diào)查公布的信息顯示,,這個(gè)具備“重大作案嫌疑”的網(wǎng)站名為iPhoneDevSdk,,許多專注于自身移動(dòng)平臺(tái)發(fā)展的公司都將這一網(wǎng)站視為進(jìn)行信息交流、分享的重要平臺(tái),。在Facebook一名員工瀏覽了這個(gè)網(wǎng)站后,,該網(wǎng)站HTML中內(nèi)嵌的木馬代碼便利用甲骨文Java漏洞侵入了這名員工的筆記本電腦。

蘋(píng)果公司透露,,部分蘋(píng)果員工的Mac電腦在訪問(wèn)一家軟件開(kāi)發(fā)者網(wǎng)站時(shí)被感染惡意程序,,黑客通過(guò)利用瀏覽器內(nèi)的Java漏洞感染Mac電腦,而該惡意程序與用于攻擊Facebook的相同,。在被黑之后,,蘋(píng)果很快為旗下OS X系統(tǒng)發(fā)布了更新。

此次大規(guī)模的黑客攻擊同針對(duì)個(gè)人用戶和公司的攻擊手法有所不同。此次黑客采用了一種名為“水坑”(watering hole)的攻擊模式,,即首先攻擊一個(gè)流行的,、并在不同領(lǐng)域公司之間都擁有較高訪問(wèn)量的網(wǎng)站服務(wù)器。

當(dāng)時(shí)一般都是釣魚(yú)攻擊,,但是像這種攻擊單個(gè)網(wǎng)站,,并試圖波及到該網(wǎng)站背后訪問(wèn)用戶的想法還是相當(dāng)有趣的,因?yàn)檫@種方式并不需要人們打開(kāi)某個(gè)郵件或者點(diǎn)擊某一鏈接,。

獨(dú)立安全研究員Ashkan Soltani認(rèn)為:“比起攻擊單一開(kāi)發(fā)者,這種方式就像是在給井源下毒,?!?/p>

事后蘋(píng)果公司透露:部分員工的Mac電腦,遭到惡意軟件攻擊,。而事件的罪魁禍?zhǔn)?,正是讓喬布斯痛恨的Java——蘋(píng)果瀏覽器中的Java插件。蘋(píng)果隨即發(fā)布了新的軟件更新,,并且消除了問(wèn)題Java代碼,。如果在頁(yè)面上使用Java applet,升級(jí)了軟件的用戶,,需要點(diǎn)擊“缺少插件”(Missing Plug-in)按鈕,,并從甲骨文下載最新版本的Java。

喬布斯生前在接受采訪時(shí),,曾毫不遮掩地表達(dá)了對(duì)Java的厭惡,。不曾想,就是這個(gè)java導(dǎo)致了這次大規(guī)模的攻擊,。

2013年7月,,蘋(píng)果網(wǎng)站被黑客襲擊,部分信息可能被盜,。蘋(píng)果在發(fā)給開(kāi)發(fā)者的郵件中表示,,黑客企圖入侵一個(gè)面向iOS平臺(tái)的第三方開(kāi)發(fā)者網(wǎng)站竊取個(gè)人信息,但是網(wǎng)站重要信息已被加密,,不會(huì)泄露,;并且開(kāi)發(fā)者的產(chǎn)品相關(guān)信息也未受影響。但是,,不排除一些開(kāi)發(fā)者的信息遭泄露的可能性,,包括姓名以及郵箱地址。

按照慣例蘋(píng)果的維護(hù)時(shí)間一般為幾小時(shí)或半天時(shí)間,。沒(méi)想到這次維護(hù),,就足足經(jīng)歷了四天之久。蘋(píng)果開(kāi)發(fā)者網(wǎng)站連續(xù)數(shù)日的癱瘓,著實(shí)讓蘋(píng)果顏面盡失,。

2014年10月蘋(píng)果發(fā)布了 iCloud 安全警告,,并表示已經(jīng)注意到一系列有組織的網(wǎng)絡(luò)攻擊,利用不安全的憑證來(lái)竊取用戶資料,;該公司也表示這些攻擊并未入侵 iCloud 服務(wù)器,,不影響在 iOS 設(shè)備或是在 OS X Yosemite 的 Mac 上使用 Safari 瀏覽器登錄 icloud.com。蘋(píng)果致力于保護(hù)用戶的隱私和安全,,安全警告中并教導(dǎo)用戶在造訪 iCloud 時(shí)收到了憑證無(wú)效的警告時(shí),,應(yīng)提高警覺(jué),不該輸入自己的 Apple ID 或密碼,,并且停止繼續(xù)連接該網(wǎng)站,。

2015年10月一直以來(lái)都有著銅墻鐵壁防護(hù)系統(tǒng)的iOS日前也遭到了黑客的攻擊,蘋(píng)果官方已經(jīng)確認(rèn)了此消息,。這次攻擊主要是在App Store里植入惡意應(yīng)用,,目前蘋(píng)果公司正在對(duì)其進(jìn)行清理。據(jù)悉受感染版本的Xcode被下載于一個(gè)中國(guó)的服務(wù)器,,主要是因?yàn)樗忍O(píng)果美國(guó)服務(wù)器的下載速度更快,。

黑客沒(méi)有被起訴,反被詔安

在這10年的發(fā)展中,,雖然蘋(píng)果對(duì)越獄者的行為很頭大,,試圖阻止他們以任何方式越獄,甚至在2009年援引版權(quán)法宣布越獄是違法行為,,但蘋(píng)果始終沒(méi)有起訴過(guò)任何越獄者,。

不止如此,當(dāng)年很多黑客成員都加入了私人安保公司,,或被蘋(píng)果“招安”,。近兩年,蘋(píng)果還專門(mén)為黑客們制定了系統(tǒng)漏洞賞金計(jì)劃,,每年還會(huì)邀請(qǐng)黑客們?nèi)ヌO(píng)果總部與高層會(huì)面,,如果有黑客在蘋(píng)果自家的操作系統(tǒng)中發(fā)現(xiàn)了漏洞,最高可獲得20萬(wàn)美元的獎(jiǎng)勵(lì),。去年,,中國(guó)黑客證實(shí):蘋(píng)果總部擺“鴻門(mén)宴”收iOS漏洞,價(jià)格“不能說(shuō)”,,來(lái)自國(guó)內(nèi)的盤(pán)古團(tuán)隊(duì),、360涅槃團(tuán)隊(duì)、騰訊科恩實(shí)驗(yàn)室等都受到了邀請(qǐng),。

隨著蘋(píng)果對(duì)漏洞的不斷重視,,如今想要越獄,需要的不再是一個(gè)單一的bug,而是一連串難以發(fā)現(xiàn)的bug,。

想想也是,,現(xiàn)在該有的功能差不多都有了,你們還瞎折騰啥,!

這些bug已經(jīng)變得彌足珍貴——只要把它提交給蘋(píng)果都可以讓發(fā)現(xiàn)者獲得幾千美金的獎(jiǎng)勵(lì),。因此,沒(méi)有多少開(kāi)發(fā)者愿意將這些漏洞用于越獄,。

經(jīng)過(guò)這么多年蘋(píng)果與越獄圈之間的相互博弈,,才使得蘋(píng)果iOS持續(xù)改進(jìn)功能、不斷提高安全水準(zhǔn),,iOS系統(tǒng)越來(lái)越好,,越來(lái)越接近我們想要的操作系統(tǒng),這其中“越獄”功不可沒(méi),。

現(xiàn)在,隨著iOS的不斷完善和開(kāi)放,,越獄這個(gè)“行俠仗義”的行為已經(jīng)漸漸遠(yuǎn)離“iPhone人”的視野,。

黑客:智能硬件脆弱到?jīng)]朋友

雖然攻擊手機(jī)、電腦已經(jīng)成為黑客們多年以來(lái)的習(xí)慣,,但隨著智能硬件的普及,,許多產(chǎn)品跟用戶的交互深度已經(jīng)遠(yuǎn)勝手機(jī)、電腦等傳統(tǒng)消費(fèi)電子,,這個(gè)趨勢(shì)也受到了許多安全團(tuán)隊(duì)和黑客們的注意,。

“世面上所有的智能家居基本上不堪一擊”,知名安全團(tuán)隊(duì)KEEN團(tuán)隊(duì)CEO王琦說(shuō),,一方面,,智能硬件都是由中小型廠商推出,其更多的資源會(huì)傾注在如何讓產(chǎn)品更快普及,,而不會(huì)投入到安全方面,;另一方面,如今智能硬件技術(shù)發(fā)展太快,,安全技術(shù)往往會(huì)相對(duì)滯后,。

來(lái)自著名信息安全公司Accuvant Labs的兩名研究人員Mathew Solnik與Marc Blanchou在大會(huì)上曝出一條驚人的消息——全球有超過(guò)20億的移動(dòng)設(shè)備安裝了含有漏洞的遠(yuǎn)端管理程序,黑客能夠借此獲得權(quán)限,,進(jìn)而在移動(dòng)設(shè)備上安裝惡意程序或存取機(jī)密信息,。

以路由器為例,這種設(shè)備基本上是每家每戶都有,,所有智能設(shè)備都需要經(jīng)過(guò)這款設(shè)備才能使用,,如果網(wǎng)絡(luò)的入口被攻破了,那么家庭中的所有設(shè)備的信息都沒(méi)有保障,許多加密的信息也很容易被篡改,。即便是思科,、華為這樣技術(shù)積累深厚的公司也難以完全防止漏洞。黑客可以模擬安裝該路由器的WIFI環(huán)境,,安卓手機(jī)在連接了有漏洞的路由器后,,使用正規(guī)軟件市場(chǎng)下載應(yīng)用時(shí),正規(guī)的軟件便會(huì)被替換為植入了木馬的后門(mén)惡意程序,,黑客可以遠(yuǎn)端獲取路由器的最高許可權(quán),,即獲得root許可權(quán)的shell。

無(wú)人機(jī)也能被輕松攻破,,一般無(wú)人機(jī)廠商會(huì)默認(rèn)接收的GPS定位信號(hào)是無(wú)誤的,,但事實(shí)上,我們可以偽裝一個(gè)假信號(hào)讓無(wú)人機(jī)接收”,,這從技術(shù)上來(lái)講并不算難,,獲知欺騙原理后,類似的破解會(huì)變得很容易,,甚至有可能使破解常態(tài)化,。從破解的過(guò)程中看,責(zé)任在GPS本身的成分更大一些,,GPS信號(hào)在技術(shù)安全性上做的并不夠好,,這為終端廠商埋下了不少隱患。

澳大利亞籍的研究人員Silvio Cesare研究了一種無(wú)線電技術(shù)開(kāi)鎖工具,,它可以通過(guò)截取汽車的FM,、藍(lán)牙或者Wifi的信號(hào),通過(guò)天線放大器,,發(fā)射出和汽車鑰匙一樣的解鎖信號(hào),,分分鐘黑掉汽車的安全系統(tǒng)。

小結(jié):

黑客黑完了蘋(píng)果,,下一步應(yīng)該轉(zhuǎn)戰(zhàn)智能硬件了,,行業(yè)需要完善,在這個(gè)期間,,消費(fèi)者對(duì)智能硬件一定要謹(jǐn)慎,。嘗鮮試水是一方面,在真正使用時(shí),,可能非智能化的傳統(tǒng)產(chǎn)品要保險(xiǎn)得多,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]