[蘋科技] iCloud 帳號能用信用卡付款、當家門鑰匙開門,但蘋果如何保證安全呢?

by 陳寗
2016.08.19 04:12PM
是[蘋科技] iCloud 帳號能用信用卡付款、當家門鑰匙開門,但蘋果如何保證安全呢?這篇文章的首圖

本文為蘋果保安機制系列文,上一篇文為:電腦免密碼就能解鎖?揭開蘋果計畫「iCloud 帳號管理你人生萬」的陰謀

--

在上一篇文章中,我們看到蘋果為我們示範了如何利用 iCloud 帳號在不同裝置之間進行驗證,包括 Apple Pay for Apple Watch 與 Apple Watch 電腦解鎖兩種應用。不過比起蘋果更為龐大的物聯網藍圖,現在的 iCloud 帳號跨裝置驗證只能算是小菜一碟,屬於給你嘗鮮玩玩看的那種。

根據目前蘋果的動作、以及我所得到的資訊來看,未來蘋果將會讓 HomeKit 物聯網裝置脫離 Home App(iOS 的「家庭 App」)的掌控,直接讓裝置透過 iCloud 與網際網路溝通。舉例來說,目前如果你想從家中區網以外的地方控制家中 HomeKit 裝置(例如攝影機或智慧門鎖),你必須先將家中的 Apple TV 或閒置 iPad 設為 HomeKit 的總控制裝置,才能從區網外的地方往家裡連線。

必須透過一台總控裝置來連線有兩個目的,第一是你的 HomeKit 裝置並不存在於網際網路上(只存在於區網中),因此需要一條管道讓你連回家中跟這些裝置溝通;第二則是必須確保所有 HomeKit 裝置都在 iCloud 帳號的保管之下,避免有朋友進入你家、連上你家區網,就可以直接控制你家的門鎖或任何智慧保安裝置。

簡單地說,一切就是為了用 iCloud 保護你的所有連線裝置,避免因為一個小裝置遭到入侵而造成你所有蘋果裝置、個人資訊、甚至信用卡、家庭保全等的全線崩壞。

>>掌握最新蘋果資訊,最專業的 Apple 評論

請幫陳寗說科技按讚並加入搶先看:https://www.facebook.com/chenning.wowdigi<<

--

因此蘋果現在的作法就是大力推廣 iCloud,除了原先必須透過 iCloud 帳號登入以取用、進入個人資訊網的電腦、平板、手機、Apple TV、Apple Watch 之外,未來蘋果也將會把 iCloud 帳號驗證投入每一個 HomeKit 裝置上,讓所有與蘋果相關的裝置通通置於 iCloud 的保管之下,以進入蘋果認定的「安全保護傘」內。

不過這種事情一向都是聽起來很美好、一旦被攻陷就通通吃 __ 的設計,在日本卡通「夏日大作戰」中就已經用很擬人的方式為我們解說了這類帳號被攻陷時所能造成的危害。但單一帳號通行所有裝置所帶來的方便性、效益、以及經濟收益都是無比龐大,因此不管是蘋果、或是 Google、FaceBook 等公司也都一直致力於推廣類似的應用。

因此在無法阻擋此一趨勢的情況下,我們只能檢討另一個面向:如何保護單一帳號、也就是 iCloud 帳號的「安全」。

ff33cdc4bd479bc98b41f39071af1afb

由於 iCloud 的高度整合,使得任何一台蘋果裝置都可以成為 iCloud 帳號的突破口,蘋果為 iCloud 加密鋪路的第一步,就是解決任何人拿到手機都可以隨便取用資料、強化手機加密的「指紋辨識」。因此在 2013 年時,蘋果直接將前一年靠併購公司取得的指紋辨識系統置入當時的新一代 iPhone 5S 之中,讓使用者直接按著 Home 鍵就能解鎖、付款買 App,打開 iCloud 帳號應用的第一步。

接下來,蘋果又再強化 Find My iPhone 對蘋果裝置的安全鎖定,包括不輸入密碼就再也無法開啟(只能送回原廠並提供身分證明啟用)等安全功能,讓手機即便被偷走了,也不至於因為使用了惡意軟體破解 iPhone 而使得 iCloud 的安全受到威脅。至於這套系統到底安不安全?

我想 FBI 已經幫我們證明了一切 —— 雖然可以破解,但代價高得令人難以置信,而且蘋果隨時都可能堵上這個難得的漏洞。

9b248341c060a16d575adc49a76618c3

除了密碼之外,Touch ID 可說是目前蘋果最被廣泛應用的加密解鎖機制,從最基本的 iPhone/iPad 解鎖、Apple Pay 付款、到 Apple Watch 解鎖,通通都能直接透過 Touch ID 進行認證。

而蘋果為了解決指紋資訊遭到破解的問題,Touch ID 更是採用了「單一手機 CPU 配對」的方式來儲存指紋資訊。所有的 iPhone 都只會將指紋儲存在手機之中而不是存到雲端,且每一組 TouchID 感應器都與該支手機的 CPU 配對並以加密形式儲存,因此無法利用硬體讀取的方式破解指紋辨識系統。

這個機制在剛推出時其實從應用角度來看實在有點過於小心了,畢竟在一開始這就只是一個手機解鎖的機制而已。但隨著蘋果將 iCloud 帳號應用推得更廣更深之後,iPhone 本身的保安問題就顯得格外重要 —— iPhone 能用來付款、用來存取個人資訊、甚至用來打開你家的門解除你家的保全。
e603fcc1d5346232b1baa39a0effb80c

但實際檢視 iOS 的保安機制,會發現 Touch ID 其實只是一個方便使用者開啟驗證的方法而已,因為當你無法使用 Touch ID 時,iOS 最後還是會跳出手機密碼鍵盤來讓你輸入,簡單地說,Touch ID 並不是解鎖 iPhone、進行驗證的唯一手段,真正的最終關卡還是在於手機本身的密碼上。

不過我們這裡必需重新釐清一下,手機解鎖密碼實際上跟 iCloud 帳號是沒有關聯的兩組帳號。但我這裡仍不斷強調 Touch ID 與手機加密的重要性,是因為現在 iPhone 只要成功解鎖之後,不需二次驗證就已經可以取用不少重要的 iCloud 功能,包括 HomeKit 家庭控制、iCloud 資料儲存(包括文件與相片圖庫)、信箱、訊息等等。

總地來說,iPhone 由於與 iCloud 結合太過緊密且過於追求操作上的流暢度,使得大多數應該被重重加密的資訊在 iPhone 解鎖之後就能直接不需經過驗證而直接取用。

因此為了避免手機被輕易解鎖而造成 iCloud 遭到非法存取,蘋果不斷強化 iPhone 鎖定加密的機制,包括前面提到的 Find My iPhone 手機防護,以及隨之而生的遠端清除、多次錯誤密碼自動清除等等,都是為了避免因為 iPhone/iPad 遭到破解而使得 iCloud 帳號暴露在危險之下。

我們現在知道 iPhone 如何避免因為手機遭到破解而使得所有 iCloud 個人服務遭到侵入,但如果惡意攻擊不是來自 iPhone 本身,而是直接企圖 Apple ID 帳號密碼,進而入侵你的所有 iCloud 服務呢?繼續閱讀:雙重認證綁定硬體,讓駭客就算取得你的 iCloud 密碼仍要無功而返!

>>掌握最新蘋果資訊,最專業的 Apple 評論

請幫陳寗說科技按讚並加入搶先看:https://www.facebook.com/chenning.wowdigi<<

--

作者:陳寗@癮科技

--

你或許會喜歡

你知道福利品不等於二手機,也有未拆封新品嗎?

台日團隊合作第一炮!SHARP M1 美背機上手體驗