信息來源:FreeBuf
近期�,關(guān)于蘋果設(shè)備安全性的討論一直此起彼伏�,從2月28日中國大陸iCloud服務(wù)轉(zhuǎn)由云上貴州運營,到以色列公司宣布解鎖包括iPhone X和iPhoen 8在內(nèi)的幾乎所有iPhone 設(shè)備。但這些都沒有接下來筆者將要陳述的這件事讓人不安……
2018年3月5日,微博網(wǎng)友@美國往事1999發(fā)布文章詳細(xì)講述了自己撥打蘋果公司客服熱線咨詢��,竟然遭到蘋果技術(shù)顧問侵入自己的iCloud賬號��,并竊取大量個人信息��,以此對其威脅恐嚇�。
跟很多人一樣��,在蘋果宣布將中國大陸的iCloud服務(wù)轉(zhuǎn)由云上貴州運營之后��,都出現(xiàn)了一些想法�,有點不太樂意自己的數(shù)據(jù)被轉(zhuǎn)存到云上貴州�,于是在2月28日當(dāng)天下午致電蘋果客服熱線4006668800詢問情況,但由于得到的回答比較敷衍由此與接電話的技術(shù)顧問之間產(chǎn)生了一些不愉快的對話�,問題沒有得到解答便結(jié)束了對話。
不曾想�,當(dāng)天晚上21:56分,該技術(shù)顧問利用私人手機號打過來��,稱自己利用職務(wù)之便�,拷貝了該網(wǎng)友iCloud賬號中的個人信息,威脅其加他的QQ進(jìn)行私聊��。網(wǎng)友并將通話錄音的一部分發(fā)了出來,其中有幾個關(guān)鍵信息:(電話錄音地址)
1.打電話者稱是蘋果高級技術(shù)顧問(根據(jù)該網(wǎng)友錄音中的回答�,應(yīng)該跟下午蘋果客服熱線中是同一個人)
2.該蘋果技術(shù)顧問稱向網(wǎng)友的三個郵箱分別發(fā)送了郵件,并且利用“職務(wù)之便”��,拷貝了一些個人信息��,并要求其加QQ私聊
3.該技術(shù)顧問威脅原話:“蘋果的設(shè)備以后就不要用了�,我不敢說讓你生不如死,至少可以給你以后的工作或者生活帶來不便”
蘋果ID管理主頁顯示網(wǎng)友名字��、三個郵箱等相關(guān)信息
該網(wǎng)友的三個郵箱除了除了常用的163郵箱��,Hotmail郵箱已經(jīng)多年沒用過�,而這些在iCloud賬戶信息中確實存在,這些信息以及網(wǎng)友的真實姓名被該技術(shù)顧問獲取��,網(wǎng)友確信自己的iCloud賬戶被非法入侵��。
蘋果技術(shù)顧問發(fā)送到Hotmail郵箱發(fā)的恐嚇信
蘋果id注冊郵箱收到的被侵入的登錄記錄
除了這段錄音之外�,網(wǎng)友還貼出了郵箱收到的威脅郵件以及iCloud賬戶被他人登陸的截圖。其iCloud賬戶中存儲有通訊錄�、照片、郵件�、備忘錄以及金融和其他領(lǐng)域賬戶用戶名和密碼等重要數(shù)據(jù),至于這個所謂的蘋果技術(shù)顧問究竟拷貝了多少資料卻不得而知��,因此該網(wǎng)友還是比較擔(dān)心。
這一段錄音以及時間過程��,足夠讓人產(chǎn)生許多其他的疑問:
1.蘋果高級技術(shù)顧問身份是否真實�?
2.網(wǎng)友iCloud賬號如何被侵入,是電話里所稱的“職務(wù)之便”還是其他黑客手段�?
3.對于所有蘋果用戶而言都會關(guān)心一個問題:蘋果技術(shù)人員是否有能力直接進(jìn)入用戶的iCloud賬戶?
前兩個問題��,該網(wǎng)友已經(jīng)報警并立案�,還是需要事件后續(xù)發(fā)展來證實。而關(guān)于“蘋果內(nèi)部人員是否有能力直接進(jìn)入用戶iCloud賬戶獲取信息��?”�,似乎有實際案例證實確實存在某種渠道��。
典型案例
2017年7月份��,蒼南縣檢察院以侵犯公民個人信息罪�,先后逮捕19名犯罪嫌疑人,身份分別為蘋果國內(nèi)直銷公司和外包公司員工�,以及手機店主。利用蘋果公司內(nèi)部系統(tǒng)��,通過蘋果手機串號和識別碼等信息(外包裝上有)��,能查詢到蘋果用戶的姓名、手機號碼�、注冊郵箱、住址等注冊時的個人信息��,借此倒賣用戶信息獲利數(shù)百萬元��。
從網(wǎng)友發(fā)布文章到文章截稿��,還沒有消息確認(rèn)蘋果官方正式回應(yīng)該事件�,只有該網(wǎng)友昨天更新微博稱“蘋果公司聯(lián)系稱,涉事員工已經(jīng)被開除”�,不過也沒有透露其他事件信息。
其實還有一個問題�,也就是誘使網(wǎng)友致電客戶的起因,那就是iCloud數(shù)據(jù)轉(zhuǎn)由云上貴州運營��,這與此前的情況會有什么區(qū)別�?蘋果官方公告稱訪問iCloud更快更穩(wěn)定,顯然這不足以說服部分用戶��,筆者在這里也不再作過多猜想�。
而關(guān)于此次具有威脅恐嚇性質(zhì)的事件,與蘋果全球市值第一的科技公司身份極不相稱��,這種客服或者說技術(shù)人員的素質(zhì)實在低下�,即便是外包團(tuán)隊也說不過去��。
蘋果設(shè)備的安全性在近期一次又一次質(zhì)疑�,而這一次面對國內(nèi)媒體全方位的報道和評論��,相信很快能夠看到蘋果的回應(yīng)��,希望得到的不是什么“臨時工”言論�。
而對于其他蘋果設(shè)備用戶來說,如何提升自己的賬戶安全性�,有一個建議應(yīng)該還是可行的,那就是開通Apple ID的兩步驗證以及雙重認(rèn)證功能��,盡可能保證每一次iCloud賬號登錄都是自己確認(rèn)過的�。本次事件中,網(wǎng)友承認(rèn)自己沒有開通雙重認(rèn)證(雖然不一定是信息被竊取的主要原因)�。
