一“洞”未平一“洞”又起——蘋果新漏洞被曝光

幾天前,蘋果發布了 iOS 6.1.3,修復了鎖屏狀態下可以打電話、看郵件的漏洞,還啟用了新的兩步安全驗證機制,加強對用戶的 Apple ID 和 iCloud 帳戶的保護。不幸的是,一天之後,新的漏洞出現了。

據 VentureBeat 報導,本週五,一個新的安全漏洞會對所有未啟用兩步安全機制的用戶造成影響。


利用這個漏洞,使用者只需要郵箱地址和機主的出生日期,然後登陸蘋果的 iForgot 網頁,在回答安全問題時將修改後的 URL 地址粘貼進去,就能夠隨意重置 Apple ID 和 iCloud 密碼。

在收到用戶的反饋後,蘋果已經將官網上的 iForgot 網頁暫時關閉,並且對外承認了這一個漏洞,並承諾會盡快將漏洞修復。據了解,此漏洞只適用於美國、英國、澳大利亞、愛爾蘭和新西蘭等已經推進兩步安全驗證政策的地區,中國大陸不在此範圍內。

不過,多名受害者表示他們需要等待 3 天才能啟用新的驗證機制,在此期間這些帳戶極易遭到攻擊。避免再次遭到攻擊的唯一方式就是通過蘋果的帳戶設置頁面修改自己的生日。

現在,蘋果的密碼重置工具處於“正在維護”狀態,無法使用。

所謂兩步安全驗證機制主要兩種情形下會用到:更改 Apple ID 密碼,或通過另外一部 iOS 設備在 iTunes 商店裡購買應用。

用戶首先需要到蘋果官網 Apple ID 管理頁面啟用該服務,設置一個 8 位密碼,然後使用 iPhone 或 iPad 接收驗證碼了。蘋果隨後通過短信或是 Find My iPhone 向用戶發送驗證碼。

當用戶重置自己的 Apple ID 時,蘋果會向預先設定的受信任設備發送安全碼,填入驗證碼後即可正常使用。一旦開啟該功能,新的安全驗證系統會替代傳統的安全問題。如果用戶忘記密碼或鎖定手機,可以通過發送的密鑰進行恢復。


資料來源:ifanr

如果喜歡我們的文章,請即分享到︰

標籤: 蘋果新漏洞  iOS 6.1.3