首页 > 专访 > 编辑视点
[导读]据外媒报道,上周三在社交媒体上出现了一些针对苹果开发者网站的投诉,苹果开发者网站已经连续几个小时无法访问,最初有报告称是因为需要维护。不过现在一些开发者在推特上透露,苹果开发者网站可能正在被黑客攻击。

据外媒报道,上周三在社交媒体上出现了一些针对苹果开发者网站的投诉,苹果开发者网站已经连续几个小时无法访问,最初有报告称是因为需要维护。不过现在一些开发者在推特上透露,苹果开发者网站可能正在被黑客攻击。一些开发者的账户地址被改为俄罗斯的同一个地址。

图片2.jpg

最开始一位名叫David Negron的开发人员(自称是Productiontrax.com的创始人)首先注意到这个问题,他发推文称,“所有开发者的帐户地址都被显示为俄罗斯的一个地址。”

另一位开发人员@Kaiusee发推文称,他检查了四个不同的苹果开发者帐户,发现所有账户都显示了相同的地址:“bul. Novatorov, Saint-Petesburg, Leningrad, 198216, Russian Federation。”

好在现在已经恢复正常,这个问题实际上是由一个 bug 引起的。

苹果表示:“由于我们的账户管理应用程序中的一个错误,开发者中心内的账户信息被暂时错误显示了出来,所有受到影响的开发者的账户地址均显示为同一个错误地址。这个 bug 已经得到了解决,开发者的地址信息现在已经可以正确显示。”

回想十年的开发之路,苹果屡屡遭受黑客越狱,但是并没有起诉过谁,真是宰相肚里能撑船啊~下面就让我们来屡屡那些年苹果是如何在被黑的道路上越挫越勇的!

初代iPhone太脑残?黑客出来搞事情

iPhone越狱网站Cydia创始人Jay Freeman对第一代iPhone的评价是这样的:“它本质上是一个小的上网平板,只是碰巧有了一些稀烂的手机功能而已。”

图片2.jpg

Jay Freeman

对于这么脑残的初代iPhone,以Jay Freeman为代表的黑客们看不下去了,在过往的10年中兢兢业业,为苹果手机研发出很多新功能。

2007年7月9日,在初代iPhone正式发售不到一个月,第一个越狱工具发布了。虽然当时的越狱工具极其简单,只能被用于更换铃声、壁纸等。但在当时,越狱所代表的,是一种自由的精神,意义在于反抗大公司的控制。为了破坏苹果所设立的“墙”,让iPhone用户拥有一台真正属于他们自己的手机,众多业余开发者纷纷献身于研究越狱漏洞的伟大事业。

Cydia在2008年2月所推出的越狱功能,为用户提供的权限已经比现在的App Store更大。用户不仅可以下载应用、游戏和程序,而且还可以下载“调整”工具。比如你可以重新设计主屏幕的布局,下载广告拦截器,对存储卡拥有更多的控制权。

果然,iPhone很争气的发展成为了一个充满活力、多元化的生态系统。

树大招风,攻击连连

l 2011年7月一个名为“匿名者”的黑客组织称已攻克苹果的服务器,并公布了苹果网站的27个用户名及其登陆密码。安全专家指出,该黑客组织曾多次攻击与维基解密及其创办人朱利安·阿桑奇为敌的公司和机构。

l 2013年2月的一次大规模攻击,包括苹果、Facebook和Twitter在内的科技公司网站纷纷遭遇了黑客入侵事件。

据Facebook针对被黑事件调查公布的信息显示,这个具备“重大作案嫌疑”的网站名为iPhoneDevSdk,许多专注于自身移动平台发展的公司都将这一网站视为进行信息交流、分享的重要平台。在Facebook一名员工浏览了这个网站后,该网站HTML中内嵌的木马代码便利用甲骨文Java漏洞侵入了这名员工的笔记本电脑。

苹果公司透露,部分苹果员工的Mac电脑在访问一家软件开发者网站时被感染恶意程序,黑客通过利用浏览器内的Java漏洞感染Mac电脑,而该恶意程序与用于攻击Facebook的相同。在被黑之后,苹果很快为旗下OS X系统发布了更新。

此次大规模的黑客攻击同针对个人用户和公司的攻击手法有所不同。此次黑客采用了一种名为“水坑”(watering hole)的攻击模式,即首先攻击一个流行的、并在不同领域公司之间都拥有较高访问量的网站服务器。

当时一般都是钓鱼攻击,但是像这种攻击单个网站,并试图波及到该网站背后访问用户的想法还是相当有趣的,因为这种方式并不需要人们打开某个邮件或者点击某一链接。

独立安全研究员Ashkan Soltani认为:“比起攻击单一开发者,这种方式就像是在给井源下毒。”

事后苹果公司透露:部分员工的Mac电脑,遭到恶意软件攻击。而事件的罪魁祸首,正是让乔布斯痛恨的Java——苹果浏览器中的Java插件。苹果随即发布了新的软件更新,并且消除了问题Java代码。如果在页面上使用Java applet,升级了软件的用户,需要点击“缺少插件”(Missing Plug-in)按钮,并从甲骨文下载最新版本的Java。

乔布斯生前在接受采访时,曾毫不遮掩地表达了对Java的厌恶。不曾想,就是这个java导致了这次大规模的攻击。

l 2013年7月,苹果网站被黑客袭击,部分信息可能被盗。苹果在发给开发者的邮件中表示,黑客企图入侵一个面向iOS平台的第三方开发者网站窃取个人信息,但是网站重要信息已被加密,不会泄露;并且开发者的产品相关信息也未受影响。但是,不排除一些开发者的信息遭泄露的可能性,包括姓名以及邮箱地址。

按照惯例苹果的维护时间一般为几小时或半天时间。没想到这次维护,就足足经历了四天之久。苹果开发者网站连续数日的瘫痪,着实让苹果颜面尽失。

图片4.jpg

l 2014年10月苹果发布了 iCloud 安全警告,并表示已经注意到一系列有组织的网络攻击,利用不安全的凭证来窃取用户资料;该公司也表示这些攻击并未入侵 iCloud 服务器,不影响在 iOS 设备或是在 OS X Yosemite 的 Mac 上使用 Safari 浏览器登录 icloud.com。苹果致力于保护用户的隐私和安全,安全警告中并教导用户在造访 iCloud 时收到了凭证无效的警告时,应提高警觉,不该输入自己的 Apple ID 或密码,并且停止继续连接该网站。

l 2015年10月一直以来都有着铜墙铁壁防护系统的iOS日前也遭到了黑客的攻击,苹果官方已经确认了此消息。这次攻击主要是在App Store里植入恶意应用,目前苹果公司正在对其进行清理。据悉受感染版本的Xcode被下载于一个中国的服务器,主要是因为它比苹果美国服务器的下载速度更快。

黑客没有被起诉,反被诏安

在这10年的发展中,虽然苹果对越狱者的行为很头大,试图阻止他们以任何方式越狱,甚至在2009年援引版权法宣布越狱是违法行为,但苹果始终没有起诉过任何越狱者。

不止如此,当年很多黑客成员都加入了私人安保公司,或被苹果“招安”。近两年,苹果还专门为黑客们制定了系统漏洞赏金计划,每年还会邀请黑客们去苹果总部与高层会面,如果有黑客在苹果自家的操作系统中发现了漏洞,最高可获得20万美元的奖励。去年,中国黑客证实:苹果总部摆“鸿门宴”收iOS漏洞,价格“不能说”,来自国内的盘古团队、360涅槃团队、腾讯科恩实验室等都受到了邀请。

随着苹果对漏洞的不断重视,如今想要越狱,需要的不再是一个单一的bug,而是一连串难以发现的bug。

想想也是,现在该有的功能差不多都有了,你们还瞎折腾啥!

这些bug已经变得弥足珍贵——只要把它提交给苹果都可以让发现者获得几千美金的奖励。因此,没有多少开发者愿意将这些漏洞用于越狱。

经过这么多年苹果与越狱圈之间的相互博弈,才使得苹果iOS持续改进功能、不断提高安全水准,iOS系统越来越好,越来越接近我们想要的操作系统,这其中“越狱”功不可没。

现在,随着iOS的不断完善和开放,越狱这个“行侠仗义”的行为已经渐渐远离“iPhone人”的视野。

黑客:智能硬件脆弱到没朋友

虽然攻击手机、电脑已经成为黑客们多年以来的习惯,但随着智能硬件的普及,许多产品跟用户的交互深度已经远胜手机、电脑等传统消费电子,这个趋势也受到了许多安全团队和黑客们的注意。

“世面上所有的智能家居基本上不堪一击”,知名安全团队KEEN团队CEO王琦说,一方面,智能硬件都是由中小型厂商推出,其更多的资源会倾注在如何让产品更快普及,而不会投入到安全方面;另一方面,如今智能硬件技术发展太快,安全技术往往会相对滞后。

来自著名信息安全公司Accuvant Labs的两名研究人员Mathew Solnik与Marc Blanchou在大会上曝出一条惊人的消息——全球有超过20亿的移动设备安装了含有漏洞的远端管理程序,黑客能够借此获得权限,进而在移动设备上安装恶意程序或存取机密信息。

以路由器为例,这种设备基本上是每家每户都有,所有智能设备都需要经过这款设备才能使用,如果网络的入口被攻破了,那么家庭中的所有设备的信息都没有保障,许多加密的信息也很容易被篡改。即便是思科、华为这样技术积累深厚的公司也难以完全防止漏洞。黑客可以模拟安装该路由器的WIFI环境,安卓手机在连接了有漏洞的路由器后,使用正规软件市场下载应用时,正规的软件便会被替换为植入了木马的后门恶意程序,黑客可以远端获取路由器的最高许可权,即获得root许可权的shell。

无人机也能被轻松攻破,一般无人机厂商会默认接收的GPS定位信号是无误的,但事实上,我们可以伪装一个假信号让无人机接收”,这从技术上来讲并不算难,获知欺骗原理后,类似的破解会变得很容易,甚至有可能使破解常态化。从破解的过程中看,责任在GPS本身的成分更大一些,GPS信号在技术安全性上做的并不够好,这为终端厂商埋下了不少隐患。

澳大利亚籍的研究人员Silvio Cesare研究了一种无线电技术开锁工具,它可以通过截取汽车的FM、蓝牙或者Wifi的信号,通过天线放大器,发射出和汽车钥匙一样的解锁信号,分分钟黑掉汽车的安全系统。

小结:

黑客黑完了苹果,下一步应该转战智能硬件了,行业需要完善,在这个期间,消费者对智能硬件一定要谨慎。尝鲜试水是一方面,在真正使用时,可能非智能化的传统产品要保险得多。

换一批

延伸阅读

[智能硬件] 开发者爆料:苹果iPad mini 5和iPad 7都将支持Apple Pencil和智能键盘

开发者爆料:苹果iPad mini 5和iPad 7都将支持Apple Pencil和智能键盘

根据国外开发者的爆料,iOS测试版信息表明,苹果新款的iPad mini 5以及iPad 7都将支持Apple Pencil和智能键盘。 ......

关键字:苹果 iPad mini 5 智能键盘 Apple Pencil

[智能硬件] 推广健康功能,苹果计划为65岁以上Apple Watch用户提供补贴

推广健康功能,苹果计划为65岁以上Apple Watch用户提供补贴

苹果公司正在与至少三家私营医疗保险公司就为65岁以上人群购买Apple Watch提供补贴的相关事宜进行谈判。......

关键字:苹果 Apple Watch 可穿戴设备

[通信技术] 一号双终端,中国电信eSIM试点城市范围扩大

一号双终端,中国电信eSIM试点城市范围扩大

当时电信在上海、广州、南京以及成都四个城市开放了eSIM业务的试点,现在根据中国电信的最新公告显示,试点城市范围已经扩大,新增了武汉和深圳。 ......

关键字:中国电信 eSIM iPhone Apple Watch

[智能硬件] 苹果下调季度营收预期,华尔街哀声一片!

苹果下调季度营收预期,华尔街哀声一片!

库克在致苹果投资者的一封信中也提到了这一点,原因是iPhone升级数量减少,以及新兴市场经济疲软。美元走强、最新款Apple Watch供应紧张以及iPhone电池更换计划也被指是该公司下调营收预期的原因。......

关键字:苹果 iPhone Apple Watch

[智能硬件] 苹果Apple Pay被欧盟盯上了!收到投诉就调查!

苹果Apple Pay被欧盟盯上了!收到投诉就调查!

欧盟竞争专员玛格丽特·维斯塔格(Margrethe Vestager)当地时间星期一表示,欧盟监管机构对苹果移动支付服务Apple Pay进行了调查,发现它不具备市场主导地位,但是,如果收到正式投诉,欧盟会再次对Apple Pay进行调查。......

关键字:苹果 移动支付 Apple Pay

[智能硬件] 苹果watchOS 5.1.2正式版推送,Apple Watch 4新增“心电图”应用!

苹果watchOS 5.1.2正式版推送,Apple Watch 4新增“心电图”应用!

今天苹果推送了watchOS 5.1.2正式版更新,本次更新为Apple Watch Series 4带来了“心电图”应用。在检测到疑似房颤的心律不齐时接收提醒,增加了“图文”复杂功能,还有可从控制中心管理“对讲机”的在线状态。 ......

关键字:Apple Watch 4 苹果 watchOS

[消费类电子新闻] 5亿房客信息被泄露!纽约检察官对万豪酒店案展开调查

5亿房客信息被泄露!纽约检察官对万豪酒店案展开调查

近年来,信息泄露事件不断,又一起非常严重的信息泄露事件被爆出,涉及多达5亿名在喜达屋酒店预订的客人的信息。泄露信息包括一些敏感信息,像护照号码,信用卡号码和信用卡到期日等! ......

关键字:信息泄露 黑客攻击

[智能硬件] 戴尔电脑出现安全漏洞,官方拒绝透露受影响用户数量,已重置所有账户密码

戴尔电脑出现安全漏洞,官方拒绝透露受影响用户数量,已重置所有账户密码

戴尔没有详细说明密码散列算法的复杂性,但其中有些算法(如MD5)可以在几秒钟内被破解,从而暴露明文密码。戴尔在声明中表示:“尽管这些信息有可能从戴尔的网络中删除了一部分,但我们的调查没有发现任何确凿证据表明这些信息被提取出来。” ......

关键字:戴尔 安全漏洞 黑客

[智能硬件] Apple Watch 4心电图功能即将上线,苹果对此很谨慎!

Apple Watch 4心电图功能即将上线,苹果对此很谨慎!

在苹果公司的内部邮件里,可以看得出他们对此功能还比较谨慎,要求员工统一口径,避免让用户理解产生偏差。苹果建议员工在为客户讲解心电图功能时候不要将其解释为“一个诊断设备或取代传统诊断的方式”,也不建议用户“用它来监视或跟踪疾病状态,或在没有医......

关键字:Apple Watch 4 Apple Watch 4心电图功能 苹果公司

[智能硬件] 哪些国家偏爱移动支付?中国、挪威、英国用户最喜欢

哪些国家偏爱移动支付?中国、挪威、英国用户最喜欢

按照Merchant Machine的估计,中国有47%的手机用户使用移动钱包,微信与支付宝是首选平台。挪威也有42%的手机用户使用,高于欧洲其它任何国家,比美国日本都要高。英国排在第三位,有24%的手机用户使用支付App,美国只有17%。......

关键字:移动支付 微信支付 支付宝 Apple Pay

我 要 评 论

网友评论

芯闻号

热门关键词

技术子站

更多

项目外包

更多

推荐博客