】俄罗斯安全研究员Vladimir Katalov分析了苹果的iCloud和Find My Phone协议，发现二者都未受到双因素认证的保护，而在用户完全不知情的情况下，就可以远程下载iCloud数据。

　　上周四在马来西亚吉隆坡举行的黑客安全大会上，Vladimir Katalov通过“破坏及分析苹果iCloud协议”的演讲告诉与会者，iCloud的信息和数据并不是向苹果对外界宣称的那样，完全不能访问。

　　Katalov的发现佐证了他原来强调的说法，他曾表示苹果可以访问那些自己宣称无法访问的数据。

　　恶意攻击者只需要一个苹果ID和密码执行远程iCloud备份都不需要连接用户的设备。

　　数据被加密，他解释道，但是密钥和数据是一起保存的。Katalov补充道，密钥在苹果公司手上。

　　Katalov对至顶网说，在一连串的安全连锁事件后，苹果的iCloud数据还保存在微软和Amazon服务器上，对此他很震惊。

　　Katalov的演讲指出，由于苹果为第三方存储供应商提供了完整的请求信息，所以苹果可以把这些数据提供给执法部门。

　　在苹果七月就NSA棱镜门监控事件的发表的公告上，苹果否认设置了任何后门供政府机构访问服务器。苹果明确表示，“苹果不会让执法部门访问其服务器。”

　　Katalov发现，执行远程下载的时候，用户不会接收到通知邮件。如果有人通过第三方远程从iCloud访问和下载用户数据，用户全然不知。

　　Vladimir Katalov偷偷潜入越狱后的苹果设备，分析了苹果iCloud和Find My Phone不过，他也解释称，在没被越狱的手机上，照样可以利用他发现的远程备份协议漏洞。

　　但是他发现，苹果的双因素认证，也就是用户名和密码之外的安全层，并未用于iCloud备份(或Find My Phone)。

　　苹果的两步认证法不能保护iCloud备份，Find My Phone的数据及保存在云中的文档。Katalov在博客中进一步做了解释，参看“苹果的双因素认证和iCloud。”

　　Katalov向黑客安全大会的与会者展示了，如何用一些简单的询问就获取认证令牌，从而访问iCloud备份，备份ID和密钥。然后，就可以从Windows Azure或Amazon AWS下载文件。

　　当问及是否已经把这个发现提交给苹果时，他解释称，自己的发现是协议分析结果并不是曝光一个漏洞。

　　当至顶网询问Katalov是否有办法解决这一问题时如将双因素认证扩展到iCloud和Find My Phone服务他摇头称，苹果的双因素认证部署只能算“后知后觉”。

　　不过，Katalov告诉我们，他仍然将苹果iCloud作为备份服务使用。“虽然它并不太安全苹果id双重认证手机号忘记了怎么办，但我仍在安全和隐私之间取舍，”他说。

　　但是，获取苹果用户ID和密码并非不可能的事情除了邮件钓鱼技巧以外(此法比大多数看似可信的方法都有效)。社交工程技巧非常普遍，而且非常有效。

　　最近的一个例子是，挪威苹果用户的ID数据接二连三被盗。在今年二月，有大量少女被一群男生锁定，这些男生通过推测出了这些女生的用户ID和密码恢复信息，随后进入了这些女孩的苹果账户，下载了这些女生的相片和数据最后还拿到网上售卖。

　　Katalov在黑客安全大会的演讲上，告诉听众，他很惊讶地发现，当用户关闭定位追踪服务的时候，用户的位置信息仍然会保存三到六个小时。

　　我们想知道，是否这就是Katalov提出，即将分析Touch ID协议和存储的原因他对至顶网说，是因为iOS7被破解。

　　至顶网询问Katalov，为什么在苹果特别声明没有发送Touch ID信息后，会有这种感觉。

　　Katalov眼中闪烁着光芒，露出了男孩子般的微笑。他用浓重的俄式口音重复道“别相信任何人”。