iCloud 是严重安全漏洞的受害者，苹果试图掩盖此事

最近，苹果修复了 iCloud 中的一个重大安全漏洞。一位名叫 Laxman Muthiyah 的研究人员确实发现了密码修改系统中的一个漏洞，黑客可以劫持该漏洞来控制受害者的帐户。专家声称库比蒂诺公司已将问题的严重程度降至最低。

在线存储数据是一个非常实用的解决方案，可以节省设备上的可用空间，但这当然并非没有风险。 iCloud 曾多次经历过这种情况，特别是在名人照片被盗事件中，但也因为针对云服务的多次恶意软件攻击。更何况苹果试图向用户隐藏的漏洞。

网络安全研究员 Laxman Muthiyah 发现了一个影响密码更改功能的大规模安全漏洞。为了让用户在忘记时重新获得帐户访问权限，该服务通过短信或电子邮件发送 6 位数的代码。如果黑客想要达到他的目的，他必须知道受害者的电话号码或电子邮件地址，然后猜测其中发送的 6 位代码百万和一些可能性。

对于黑客来说，最有效的解决方案就是使用暴力破解方法。苹果已经预见到了这种可能性并阻止了任何尝试将尝试次数限制为 5 次。此外，来自同一 IP 地址的请求数量不能超过 6 个。因此，恶意个人总共需要28,000 个不同的 IP 地址“暴力破解”iCloud 发送的 6 位代码。最后，为了进一步加强其平台的安全性，Apple 阻止来自云服务的所有请求例如亚马逊网络服务和谷歌云。

但实际上，正如 Laxman Muthiyah 发现的那样，并非所有云服务都被阻止，这为暴力尝试打开了大门。“我们必须首先绕过短信中的 6 位数代码，然后绕过电子邮件地址中收到的 6 位数代码”，研究人员解释道。“两种解决方法都基于相同的方法和环境，因此当我们尝试第二种解决方法时，我们不需要更改任何内容”。拉克斯曼指出即使双因素身份验证也无法解决此缺陷，尽管他承认“攻击实施起来并不容易”。

关于同一主题：Windows 10 — iTunes 和 iCloud 可能会用勒索软件感染您，请更新它们！

研究人员立即于 2020 年 7 月就该漏洞向 Apple 发出警告。直到今年4月份才得到纠正，而没有通知拉克斯曼。“极少数账户面临风险，极少数苹果设备用户容易受到攻击。”库比蒂诺公司最终告诉他，并补充说“这种攻击仅适用于从未用于在受密码保护的 iPhone、iPad 或 Mac 上登录的 Apple ID 帐户”。