西电主页 English 宣传部
媒体西电
表格等宽内容时,请左右滑动 <>
手机里慎存秘密 互联网没有“删除键”
时间:2014-09-09 08:04:44来源:华商报点击:

近日,好莱坞明星不雅照被集体曝光一事引起广泛关注。事发后,苹果iCloud备受媒体关注。有媒体报道称,这些照片很可能是黑客利用或攻击了苹果的iCloud后获得的。

苹果的IOS系统以封闭性为主要特点,为什么会出现这样的问题?云计算技术在给大家提供方便的同时,潜藏着哪些信息安全隐患?本期《好奇心》,华商报记者和西安电子科技大学计算机学院的多位老师一起通过实验,看看到底安全隐患有哪些。

实验时间:9月3日、9月7日

实验地点:西安电子科技大学、华商报社

实验顾问:陕西省网络与系统安全重点实验室副主任,西安电子科技大学计算机学院博士生导师、教授沈玉龙,西安电子科技大学计算机学院姚青松博士(研究方向为网络安全)

实验人员:西安电子科技大学陕西省网络与系统安全重点实验室博士研究生高聪、华商报记者

分析

好莱坞女星艳照被窃取有3种可能

这次好莱坞女星艳照泄露的具体原因,苹果公司在声明中称:“我们发现,某些名人的账户名、密码、安全问题遭到了极具针对性的攻击。”西安电子科技大学计算机学院姚青松博士分析认为,从媒体报道中能看出三方面的因素:一是系统,二是账号,报道所指是系统问题,苹果回复指向用户习惯,第三个因素是环境。这三方面都可能导致用户包括照片在内的隐私信息被泄露。

提醒

千万不要用手机拍私密照片

在“好莱坞女星艳照门”发生后,专家给公众三个提醒:

第一,不要重复使用密码。重复使用相同密码,大大增加被黑客盗取隐私数据的风险。

第二,虽然利用云端随时备份数据非常方便,但如非必要,建议将iCloud等客户端的上传系统功能关掉。

第三,千万不要用手机拍私密照片。

姚青松提醒说:“不能控制服务的安全性,就从控制自己的使用习惯入手。”要防止使用弱密码,比如生日密码、常用短句、规律数字等;要及时升级手机系统,对安卓手机用户来说,要特别防止来源不明的软件安装。不需联网的程序,就不要给联网权限。重要或敏感文件不要在云端存储。如果必须在云端存储,最好先自主加密。

华商报记者马虎振

实验验证

实验1

两分钟故意输错密码10次 “查找我的iPhone”并不拒绝再尝试

“查找我的iPhone”是苹果手机中一个重要的APP,用它不仅可以寻找丢失的手机、发出响声和信息、查看手机所处的位置、甚至擦除手机上的数据,在iOS7系统中还有一个“激活锁”的功能,只要开启“查找我的iPhone”,别人想使用你遗失的iPhone、iPad或 iPod touch,必须要输入 Apple ID 和密码,否则就无法使用。

这个非常实用的APP怎么会被认为有漏洞呢?华商报记者进行了登录实验。

华商报记者打开iPad上“查找我的 iPhone”,输入朋友的AppleID,然后随便输入登录口令,无法进入。而在两分钟内故意错误输入登录口令十次,都得到“您的Apple ID或密码不正确”的提示,但并不拒绝再次尝试。

专家说,这会给黑客使用特殊软件进行“暴力破解”留下可能,只要时间足够,破解密码是有可能的。但IOS系统是封闭性的,对于没有“越狱”的设备来说,所有APP都来自AppStore或iTunesStore,苹果公司是不可能允许不利于其设备的App进入APP市场的。

而如果黑客想利用电脑端的“查找我的iPhone”进行“暴力破解”,前提必须要登录iCloud账号,这就要求知道用户的AppleID和密码,对黑客就没有意义了。

实验总结:

想用“查找我的iPhone”不限制口令输入次数这一特点,来“暴力破解”获得登录口令,并不容易。另外,对已“越狱”的iPhone和安卓手机,因为没实验,不好做结论。但由于安卓系统的开放性,几位老师都认为导致安卓用户隐私泄密的途径,可能更多源于不良软件的安装及木马病毒等。

另外在实验中,高聪和华商报记者都发现,苹果公司已升级了iCloud的相关软件。

实验2

用网上泄露的邮箱账号密码登录苹果账号竟然成功进入

因为很多人担心记不住密码,就会用常用邮箱申请Ap-ple ID,并使用相同密码,这给黑客留下了线索。

2011年12月,某网站安全系统遭黑客攻击,600万用户的登录名、密码及邮箱遭到泄露。若有人还用这样的邮箱申请AppleID,会有危险吗?

高聪从网上下载了一份资料,选择了一些泄露的邮箱账号及登录密码。然后打开iCloud官网,逐一进行尝试。结果,输入的大部分账号和密码都显示为错误。但使用其中一个账号时,竟然登入了iCloud。点开后,页面上有“邮件”、“通讯录”、“日历”、“备忘录”、“提醒事项”、“查找我的iPhone”以及“Pages”、“Numbers”、“Key-note”等几个模块,但并未见到有照片模块。出于对用户隐私的尊重,他抓了一个屏幕截图,就退出了该账户。

华商报记者在电脑上打开iCloud官网,输入自己的Ap-pleID和密码,结果发现自己常用邮箱里的邮件、手机上存的数百个电话号码、备忘录上记录的内容、重要事情的提醒都可以看得到。“Pages”、“Numbers”、“Keynote”三个模块,由于手机上未安装,打开后看不到资料。

实验总结:

利用云计算技术,人们只要记住自己的登录账号和密码,换新手机时只要输入账号和密码,通讯录等已备份过的内容就会转移到新手机上。这些数据、照片被保存在各种云上,可以很方便地在不同设备上调取查阅,增加了易用性,但其安全性显然不如保存在本地。可如果用户拒绝使用云技术,这么多信息倒腾一回还真不容易。

实验3

上传到云端且已共享的照片想要删除不容易

好莱坞女星艳照泄密事件发生后,有明星表示,这些照片是多年前拍摄的,很久前就已删除。为何这些照片还是被黑客窃取到,报道中有专家表示,是黑客利用了iCloud云端的特性。一般来说,云端功能都有“留底”的做法,本意是为避免用户失误删除档案,可以通过“备份”重新取得档案,就这个“留底”功能让黑客有机可乘。

彻底删除云端的照片很难吗?华商报记者打开自己iPad的照片流,选定朋友的iPhone手机号后新建共享流,并上传了几张照片。朋友可以评论、可以上传照片。记者可以随时将自己创建的共享照片流里的照片(包括自己和朋友上传的)删掉,但自己图库里的原图依然还在。而朋友一旦将记者上传的照片流里的照片保存到其手机中,记者就无法删除了。

这只是点对点的传送和共享,想要判断自己上传的照片是否被彻底删除,都不是自己能确定的。而如果在较大范围共享,或直接上传到公共网络,想要再删除几乎不可能。

实验总结:

西安电子科技大学计算机专业硕士研究生张华庆说,上传到云端的照片和数据需要备份几份是运营商决定的。删除了客户端的照片,云端的照片依然可能存在,只是用户看不见而已。“所以,互联网上没有删除键。”看来对于爱好自拍且喜欢共享的手机用户来说,最好还是别把隐私信息存在手机里,否则“明星们的烦恼”不知道什么时候就可能会降临到你身上。

专家解说

手机系统、账号、使用环境都对信息安全有影响

■ 系统:更新系统会减少泄密的可能

“如果系统不限制密码尝试的次数,黑客就可以利用专门的软件进行破解。”西安电子科技大学计算机学院姚青松博士说,解决这个问题其实并不复杂,比如可以用错误多少次之后锁定账号的方法,也可以用“两步验证”。通俗来说,就是用户在某些网站登录时,手机还会收到验证码信息,只有两串数字都输入正确时,才能登录成功,这样可以减少黑客破解手机的可能。此外,及时更新系统也会减少泄密的机会。

而系统的易用性和数据的私密性之间,也会产生矛盾。比如使用苹果的照片流或其他的云APP共享了照片,这样是方便了交流,但照片只要上传到网络,用户信息的私密性就可能受到威胁。

■ 账号:用户的使用习惯对账号安全影响很大

“账号和用户的习惯息息相关,因为如果不能控制服务的安全性,还可以选择从个人习惯入手,来保证自己的数据安全和个人隐私。”姚青松说。

为防止黑客攻击,登录口令的设置不能用弱密码,不能用生日或容易猜到的短口令做密码,否则很容易被破解。

不能所有账号都用同一个密码。比如用同一个QQ邮箱注册微信、苹果ID等各类账号,还使用相同的密码,这样很容易让黑客破解。

为解决记不住密码和账号的问题,有人推荐使用密码管理软件,但这样的软件能否靠得住也很难说。所以,最好是将各种重要账号及密码加以区别,把不重要资料与重要资料完全隔离。这样不重要账户口令弱一点也影响不大,账户泄露了也不会泄露个人的重要信息。

■ 环境:用免费WIFI口令有可能被窃取

姚青松提醒说,这里所说的环境,一指具体空间环境,二还包括网络环境。登录重要账号,首先要避免周围的人和公共场所安置的摄像头,以防因偷窥而泄密;此外还要避免使用不熟悉的免费公共WiFi,因为只要用了人家的WiFi,你的账号、密码等信息就必然要经过人家的无线路由器,人家要窃取你的账号、密码并不困难。

《华商报》好奇心在4月8日的报道中,曾针对WiFi被黑客蹭网的后果做过实验。实验显示,如果黑客别有用心,在控制了无线路由器后,可以劫持他人的微博、微信、人人网、QQ号码、手机号甚至照片等隐私信息。而一旦iPhone用户的AppleID和登录口令被窃取,利用苹果的iCloud服务,就可以很容易地获取用户备份在云端的通讯录、照片等个人隐私。

姚青松说,上传云端的数据最好自主加密,否则,“云端”管理者有可能看得一清二楚。

来源:《华商报》2014年9月9日

请遵守《互联网电子公告服务管理规定》及中华人民共和国其他有关法律法规。
用户需对自己在使用本站服务过程中的行为承担法律责任。
本站管理员有权保留或删除评论内容。
评论内容只代表网友个人观点,与本网站立场无关。
 匿名发布 验证码 看不清楚,换张图片
0条评论    共1页   当前第1
手机里慎存秘密 互联网没有“删除键”
发布时间:2014-09-09 08:04:44来源:华商报点击:我要评论: 0

近日,好莱坞明星不雅照被集体曝光一事引起广泛关注。事发后,苹果iCloud备受媒体关注。有媒体报道称,这些照片很可能是黑客利用或攻击了苹果的iCloud后获得的。

苹果的IOS系统以封闭性为主要特点,为什么会出现这样的问题?云计算技术在给大家提供方便的同时,潜藏着哪些信息安全隐患?本期《好奇心》,华商报记者和西安电子科技大学计算机学院的多位老师一起通过实验,看看到底安全隐患有哪些。

实验时间:9月3日、9月7日

实验地点:西安电子科技大学、华商报社

实验顾问:陕西省网络与系统安全重点实验室副主任,西安电子科技大学计算机学院博士生导师、教授沈玉龙,西安电子科技大学计算机学院姚青松博士(研究方向为网络安全)

实验人员:西安电子科技大学陕西省网络与系统安全重点实验室博士研究生高聪、华商报记者

分析

好莱坞女星艳照被窃取有3种可能

这次好莱坞女星艳照泄露的具体原因,苹果公司在声明中称:“我们发现,某些名人的账户名、密码、安全问题遭到了极具针对性的攻击。”西安电子科技大学计算机学院姚青松博士分析认为,从媒体报道中能看出三方面的因素:一是系统,二是账号,报道所指是系统问题,苹果回复指向用户习惯,第三个因素是环境。这三方面都可能导致用户包括照片在内的隐私信息被泄露。

提醒

千万不要用手机拍私密照片

在“好莱坞女星艳照门”发生后,专家给公众三个提醒:

第一,不要重复使用密码。重复使用相同密码,大大增加被黑客盗取隐私数据的风险。

第二,虽然利用云端随时备份数据非常方便,但如非必要,建议将iCloud等客户端的上传系统功能关掉。

第三,千万不要用手机拍私密照片。

姚青松提醒说:“不能控制服务的安全性,就从控制自己的使用习惯入手。”要防止使用弱密码,比如生日密码、常用短句、规律数字等;要及时升级手机系统,对安卓手机用户来说,要特别防止来源不明的软件安装。不需联网的程序,就不要给联网权限。重要或敏感文件不要在云端存储。如果必须在云端存储,最好先自主加密。

华商报记者马虎振

实验验证

实验1

两分钟故意输错密码10次 “查找我的iPhone”并不拒绝再尝试

“查找我的iPhone”是苹果手机中一个重要的APP,用它不仅可以寻找丢失的手机、发出响声和信息、查看手机所处的位置、甚至擦除手机上的数据,在iOS7系统中还有一个“激活锁”的功能,只要开启“查找我的iPhone”,别人想使用你遗失的iPhone、iPad或 iPod touch,必须要输入 Apple ID 和密码,否则就无法使用。

这个非常实用的APP怎么会被认为有漏洞呢?华商报记者进行了登录实验。

华商报记者打开iPad上“查找我的 iPhone”,输入朋友的AppleID,然后随便输入登录口令,无法进入。而在两分钟内故意错误输入登录口令十次,都得到“您的Apple ID或密码不正确”的提示,但并不拒绝再次尝试。

专家说,这会给黑客使用特殊软件进行“暴力破解”留下可能,只要时间足够,破解密码是有可能的。但IOS系统是封闭性的,对于没有“越狱”的设备来说,所有APP都来自AppStore或iTunesStore,苹果公司是不可能允许不利于其设备的App进入APP市场的。

而如果黑客想利用电脑端的“查找我的iPhone”进行“暴力破解”,前提必须要登录iCloud账号,这就要求知道用户的AppleID和密码,对黑客就没有意义了。

实验总结:

想用“查找我的iPhone”不限制口令输入次数这一特点,来“暴力破解”获得登录口令,并不容易。另外,对已“越狱”的iPhone和安卓手机,因为没实验,不好做结论。但由于安卓系统的开放性,几位老师都认为导致安卓用户隐私泄密的途径,可能更多源于不良软件的安装及木马病毒等。

另外在实验中,高聪和华商报记者都发现,苹果公司已升级了iCloud的相关软件。

实验2

用网上泄露的邮箱账号密码登录苹果账号竟然成功进入

因为很多人担心记不住密码,就会用常用邮箱申请Ap-ple ID,并使用相同密码,这给黑客留下了线索。

2011年12月,某网站安全系统遭黑客攻击,600万用户的登录名、密码及邮箱遭到泄露。若有人还用这样的邮箱申请AppleID,会有危险吗?

高聪从网上下载了一份资料,选择了一些泄露的邮箱账号及登录密码。然后打开iCloud官网,逐一进行尝试。结果,输入的大部分账号和密码都显示为错误。但使用其中一个账号时,竟然登入了iCloud。点开后,页面上有“邮件”、“通讯录”、“日历”、“备忘录”、“提醒事项”、“查找我的iPhone”以及“Pages”、“Numbers”、“Key-note”等几个模块,但并未见到有照片模块。出于对用户隐私的尊重,他抓了一个屏幕截图,就退出了该账户。

华商报记者在电脑上打开iCloud官网,输入自己的Ap-pleID和密码,结果发现自己常用邮箱里的邮件、手机上存的数百个电话号码、备忘录上记录的内容、重要事情的提醒都可以看得到。“Pages”、“Numbers”、“Keynote”三个模块,由于手机上未安装,打开后看不到资料。

实验总结:

利用云计算技术,人们只要记住自己的登录账号和密码,换新手机时只要输入账号和密码,通讯录等已备份过的内容就会转移到新手机上。这些数据、照片被保存在各种云上,可以很方便地在不同设备上调取查阅,增加了易用性,但其安全性显然不如保存在本地。可如果用户拒绝使用云技术,这么多信息倒腾一回还真不容易。

实验3

上传到云端且已共享的照片想要删除不容易

好莱坞女星艳照泄密事件发生后,有明星表示,这些照片是多年前拍摄的,很久前就已删除。为何这些照片还是被黑客窃取到,报道中有专家表示,是黑客利用了iCloud云端的特性。一般来说,云端功能都有“留底”的做法,本意是为避免用户失误删除档案,可以通过“备份”重新取得档案,就这个“留底”功能让黑客有机可乘。

彻底删除云端的照片很难吗?华商报记者打开自己iPad的照片流,选定朋友的iPhone手机号后新建共享流,并上传了几张照片。朋友可以评论、可以上传照片。记者可以随时将自己创建的共享照片流里的照片(包括自己和朋友上传的)删掉,但自己图库里的原图依然还在。而朋友一旦将记者上传的照片流里的照片保存到其手机中,记者就无法删除了。

这只是点对点的传送和共享,想要判断自己上传的照片是否被彻底删除,都不是自己能确定的。而如果在较大范围共享,或直接上传到公共网络,想要再删除几乎不可能。

实验总结:

西安电子科技大学计算机专业硕士研究生张华庆说,上传到云端的照片和数据需要备份几份是运营商决定的。删除了客户端的照片,云端的照片依然可能存在,只是用户看不见而已。“所以,互联网上没有删除键。”看来对于爱好自拍且喜欢共享的手机用户来说,最好还是别把隐私信息存在手机里,否则“明星们的烦恼”不知道什么时候就可能会降临到你身上。

专家解说

手机系统、账号、使用环境都对信息安全有影响

■ 系统:更新系统会减少泄密的可能

“如果系统不限制密码尝试的次数,黑客就可以利用专门的软件进行破解。”西安电子科技大学计算机学院姚青松博士说,解决这个问题其实并不复杂,比如可以用错误多少次之后锁定账号的方法,也可以用“两步验证”。通俗来说,就是用户在某些网站登录时,手机还会收到验证码信息,只有两串数字都输入正确时,才能登录成功,这样可以减少黑客破解手机的可能。此外,及时更新系统也会减少泄密的机会。

而系统的易用性和数据的私密性之间,也会产生矛盾。比如使用苹果的照片流或其他的云APP共享了照片,这样是方便了交流,但照片只要上传到网络,用户信息的私密性就可能受到威胁。

■ 账号:用户的使用习惯对账号安全影响很大

“账号和用户的习惯息息相关,因为如果不能控制服务的安全性,还可以选择从个人习惯入手,来保证自己的数据安全和个人隐私。”姚青松说。

为防止黑客攻击,登录口令的设置不能用弱密码,不能用生日或容易猜到的短口令做密码,否则很容易被破解。

不能所有账号都用同一个密码。比如用同一个QQ邮箱注册微信、苹果ID等各类账号,还使用相同的密码,这样很容易让黑客破解。

为解决记不住密码和账号的问题,有人推荐使用密码管理软件,但这样的软件能否靠得住也很难说。所以,最好是将各种重要账号及密码加以区别,把不重要资料与重要资料完全隔离。这样不重要账户口令弱一点也影响不大,账户泄露了也不会泄露个人的重要信息。

■ 环境:用免费WIFI口令有可能被窃取

姚青松提醒说,这里所说的环境,一指具体空间环境,二还包括网络环境。登录重要账号,首先要避免周围的人和公共场所安置的摄像头,以防因偷窥而泄密;此外还要避免使用不熟悉的免费公共WiFi,因为只要用了人家的WiFi,你的账号、密码等信息就必然要经过人家的无线路由器,人家要窃取你的账号、密码并不困难。

《华商报》好奇心在4月8日的报道中,曾针对WiFi被黑客蹭网的后果做过实验。实验显示,如果黑客别有用心,在控制了无线路由器后,可以劫持他人的微博、微信、人人网、QQ号码、手机号甚至照片等隐私信息。而一旦iPhone用户的AppleID和登录口令被窃取,利用苹果的iCloud服务,就可以很容易地获取用户备份在云端的通讯录、照片等个人隐私。

姚青松说,上传云端的数据最好自主加密,否则,“云端”管理者有可能看得一清二楚。

来源:《华商报》2014年9月9日

责任编辑:秦明
相关阅读:
    读取内容中,请等待...
请遵守《互联网电子公告服务管理规定》及中华人民共和国其他有关法律法规。
用户需对自己在使用本站服务过程中的行为承担法律责任。
本站管理员有权保留或删除评论内容。
评论内容只代表网友个人观点,与本网站立场无关。
 匿名发布 验证码 看不清楚,换张图片
0条评论    共1页   当前第1
本月热点