&&|&&责编：刘菲菲
1抢红包助手收集用户iCloud账号密码&&&&都说很安全，这话也对，也不对，因为它是否安全，首先要看是不是越狱过。之所以iOS比起其它手机系统来较为封闭，原因就是这样更能保证系统的安全性。不过很多用户觉得，这样封闭用着不爽，因为很多功能无法实现，所以就给iPhone越狱，越狱后的iPhone可以通过安装插件来实现更多功能。殊不知，这样的做法是要付出“代价”的，而这个代价就是牺牲安全性。&&&&手机信息安全早已不是小事，日前，一则22万iCloud帐户被盗的新闻，再次引爆互联网，那么，是什么原因导致这一事件的发生呢？这还要从抢红包说起。抢红包助手收集用户iCloud账号密码&&&&自推出“红包”功能之后，每逢过节，大家的微信群里就不时会有人发个红包来抢。抢红包本是一种娱乐，但有人却想靠这个“发财”，但又不可能时时刻刻盯着哪个群里又有谁发了红包，于是，一种名为“抢红包助手”的插件就出现了。微信抢红包助手帮用户自动抢红包&&&&大家都知道iPhone手机所搭载的iOS系统是相对封闭的，如果是不能在苹果官方App&Store上架的应用，就得将iPhone越狱后才能安装，而这些抢红包助手正是以越狱插件的形式安装到用户手机上的。这款助手最早是发布在威锋风的Cydia源上，经威锋技术组在测试中发现，某红包助手类插件会通过后台收集用户的iCloud账号密码，并且有20万左右有效的iCloud账号密码已经被泄漏。&&&&在泄漏的这些账号中，绝大部分都可以用于登录iCloud，只有一小部分用户由于为自己的账号添加了“两步验证”，所以暂时幸免，但账号密码也已经泄漏了。2iCloud账号被盗会有什么后果iCloud账号被盗会有什么后果&&&&导致iCloud泄漏的恶意代码名为“KeyRaider”，据统计，KeyRaider已经成功偷取了超过22万个有效的苹果账户和成千上万的证书、私人钥匙和购买收据。恶意还将偷取来的数据上传到C2（指令和控制）服务器，该服务器本来就包含了众多的漏洞，用户的信息也因此遭到泄露。&&&&对苹果用户来说，iCloud账号几乎记录和保存着手机里的所有重要内容，包括设备的位置信息，通讯录、照片、记事本、应用购买记录、云空间文件存储等各种可以同步的信息。一旦泄漏，就意味着这些内容全部暴露在了别人面前。可怕不？&&&&更可怕的是，KeyRaider还可以通过内置功能对iOS设备用户进行勒索。导致iCloud泄漏的恶意代码还可以通过内置功能对iOS设备用户进行勒索&&&&以往也有用户遇到过iPhone勒索，方法是通过iCloud服务设备，在一些情况下，彷通过重置账户密码就可以重新获得iCloud控制权。但这次遇到的恶意代码KeyRaider却不同，它可以本地禁用任何类型的解锁操作，无论你是否输入了正确的密码。&&&&KeyRaider同样可以通过偷取的证书和私人钥匙向你的设备发送信息来勒索用户，让你付款然后可能会帮你解锁。因为这个恶意软件的特殊性，之前可用的一些应对办法也不再适用。&&&&此外，不法分子还可以使用偷来的账户从App&Store购买付费应用，钱是从帐户所绑定的信用卡上支付的，这些钱就像普通情况下购买应用一样，由苹果和开发者分成。当然，我们相信这样无良的开发者还是少数的。&&&&KeyRaider是通过威锋源传播到iOS设备的，因此威锋方面也非常重视这一事件，对包含该恶意代码的插件进行了分析，结果发现，一位名为“mischa07”的威锋用户上传了至少15个KeyRaider的样本到他的个人源中，因为他的用户名被硬编码到恶意软件中作为加密和解密钥匙，所以威锋技术方面怀疑mischa07就是本次事件的始作俑者。上传恶意插件的用户&&&&mischa07上传的插件被的次数很多均超过1万次，他上传的插件大多提供游戏作弊、系统更改和去应用广告等功能。&&&&这里我们再次提醒大家，尤其是iPhone越狱用户，不要盲目从个人开发者的源中下载不明插件，以免在不知不觉中就泄漏了自己的个人信息。轻则丢失些信息，3给账号加把锁 教你开启iCloud两步验证给账号加把锁&教你开启iCloud两步验证&&&&在被黑的22万余用户数据中，80%以上的用户数据都是有效、可登陆的，而剩余的一少部分用户的账户暂时无法登陆，原因是因为他们为自己的Apple&ID添加了两步验证，而这一个小小的动作则使其iCloud等个人信息暂时幸免于难，但不可否认的是账号密码也已经遭到了泄露。&&&&两步验证需要您先用您的一台设备验证身份，然后才能更改帐户、登录iCloud或使用新设备在或App&Store进行购买。开启“两步验证”的方法：1.打开苹果官网“我的Apple&ID”页面（地址：）；2.点击“管理您的Apple&ID”用自己的Apple&ID登录；用Apple&ID登录3.登录成功后，点击左侧列表中的“密码和帐户安全”，回答两个之前设定的安全提示问题，点击“继续”；4.安全问题验证通过后，点击“两步验证”下方的“开始设置”；5.接下来的三个页面都是苹果给用户的“两步验证”说明和提示，一直点“继续”就可以了；6.进入真正的设置步骤，一共有4步，根据提示一步一步设置：&&&&第一步：添加一个可以收到短信的手机号，输入号码后该手机会收到一个四位数字验证码，按提示将验证码输入到页面中；添加可以收到短信的手机号&&&&第二步：保存打印恢复密钥。将页面上给出的一串密钥保存下来，最好是打印或抄录下来妥善收藏，开启两步验证后一旦忘记iCloud密码无法登录时，只能通过这串密钥来重置密码，切记！切记！妥善保存恢复密钥&&&&第三步：输入刚刚得到的密钥再次验证；&&&&第四步：再次确认启用“两步验证”后的注意事项，勾选“我已了解上述条件”后，正式启用“两步验证”。7.两步验证成功启用。再登录iCloud时就会发现，只用密码登录，所有功能都处于锁定状态，只有通过手机验证后，才能正常使用。只用密码登录所有功能锁定通过&&&&从设置步骤就可以看出，苹果的两步验证安全性更高，但在使用时也会更麻烦些，启用后登录iCloud时除了需要使用密码之外，还要再通过已绑定的手机号再次验证。&&&&多了一步虽然麻烦，但为了帐号安全，还是建议各位苹果用户按上面的方法开启两步验证，为自己的信息安全多加一把锁。4如果iPhone不绑账号可以吗？如果iPhone不绑账号可以吗？&&&&有些用户可能会说，帐号这么不安全，那我的手机不绑定iCloud行不行？这个问题比较尴尬，因为此前各种渠道都在叮嘱用户，要使用iCloud帐号绑定设备，这样一旦iPhone或iPad丢失还可以通过查找位置找回来，但是现在又出了帐号被盗隐私丢失的事。&&&&我们所说的可以找回手机，是苹果“”功能。如果用户手机中安装并用苹果帐号登录了“查找我的iPhone”，那么手机丢失后，用户就可以通过远程登录iCloud网页来锁定设备，并可以让设备发出声音，或者向锁定的设备发送信息。&&&&只要设备还没关机，并且开着定位，那么机主就可以通过iCloud看到设备所在位置。通过iCloud查找丢失的手机&&&&也就是说，绑定帐号，手机丢了还有找回的可能；不绑帐号，手机如果是不小心丢了，碰到好人还能找回来（当然我们信息世上还是好人多~），如果是被偷了，那就基本没戏了，除非你能保证手机肯定丢不了。&&&&前面我们已经给大家介绍了如何开启“两步验证”，不得不说这是一个目前看来还不错的应对方法，已经对iCloud有“依赖”的用户可以尝试一下。&&&&因为关系到众多苹果用户的个人隐私，所以官方对此事件也非常重视，目前的处理结果是，已经对本次泄漏的10万个iCloud账号和密码进行了重置，如果用户在使用Apple&ID进行登陆时系统弹出强行更改密码的提示，就意味着该账号归属人是本次木马门事件的受害者。
4￥33495￥6486￥42007￥12608￥4989￥145010￥1600&&我的网易邮箱密码被盗了，AppleID也被盗了，现在对方把我的密保问题答案全改了，我账户里的余额有上千元，icloud里的通讯录、照片、个人位置也都泄露了，3天内我打了好多电话给苹果客服，最终得到的结果却是&没办法&。&张先生最近摊上了这么件麻烦事，他认为，苹果公司有过失，一方面未能及时告知用户账号被修改等异常情况，另外通过邮箱就能改密码、抹掉手机信息的流程，存在安全隐患。
　　苹果客服对此解释说，苹果默认掌握账号密码者就是该iPhone的主人。&苹果要提供帮助的难度就在于难以确认求助者是不是真的机主。&有业内人士道出了身份确认的难题。
　　原本为保护手机丢失，防止泄露机主信息的icloud功能，却被不法分子利用。IT安全专家表示，攻击者会通过暴力登录接口、木马等方式盗取用户账号，建议用户的icloud账号密码不要和别的网站通用。如果手机&越狱&了，不要装陌生的软件。
　　iPhone6突然被关机锁屏
　　手中的iPhone6突然自动关机，重启后却显示&此iPhone已丢失&，屏幕被锁，手机成了一块&板砖&，事后有人索要600元解锁费。近日，张先生的手机突然被隔空锁屏，手机瞬间变&砖头&。由于他的手机包装盒和三包卡已遗失，苹果客服回复说，无法证实他就是机主，因此不能帮他解锁。
　　前两天，张先生升级手机软件时弹出对话框，要他输入密码，可是输入几次都不成功，他就进入邮箱打算修改ID和密码。谁知，邮箱里有几封邮件显示他的密码、密保、救援邮箱等个人资料均已修改成功，这时他才发现iPhone账户被盗了。过了几天，手机突然自动关机，重启后就显示&此iPhone已丢失&。
　　后来，张先生才了解到，如果苹果账户被盗，而手机里开通了&查找我的iPhone&功能，&黑客&可用该账户通过申请手机挂失业务，令绑定该账户的iPhone手机成为&板砖&一块，不能继续使用。
　　由于张先生无法找回账户密码，根本无法注销该账户。情急之下，他打开淘宝搜索，发现有商家专门做&注销账户&的业务。
　　之后，张先生花了90元，解除了手机的账户绑定。他还发现，淘宝商家中竟有&官方解锁找回账户&的服务，但价格不菲，如果手机被挂失变&板砖&，则需要花费两三千元才可以解锁。张先生不满道：&苹果可以远程删除手机的这个漏洞，相当于给了黑客一个勒索的平台，而且这个情况苹果是知道的。&
　　张先生还算幸运的，李先生的AppleID（苹果账户）在去年12月23日被盗，而其账户绑定的银行卡因此被盗刷，个人信息泄露。盗取账户的&黑客&几乎把李先生所有改密码的渠道全部进行了更换，想要找回密码比&登天还难&。
　　无独有偶，刘女士因为网易邮箱账号被盗，iPhone账号也被盗，手机中记录着自己家宝宝成长历程的珍贵照片被删除了，通讯录也没了，还收到黑客&三天后联系你解锁&的勒索信息。虽然最后在苹果客服的协助下，找回了账号，但是消失的照片却再也无法恢复。
　　笔者调查发现，不少网友吐槽苹果ID账户被盗经历：&太坑人了，区区一个邮箱就可以重新设置各种东西，太无语了！&&坑爹的苹果，忘记密保的话非常烦，还需要原始购机发票、外包装及&三包&凭证，要不然是不会给你重置或者注销被盗的ID的。&
　　苹果建议开启相关安全功能
　　关于通过绑定邮箱就可以绕过安全问题改苹果账号密码的疑问，苹果客服解释说，修改苹果账号密码有两个途径：一是通过绑定的邮箱找回密码；另一个是通过安全问题找回密码。对于第一个途径，客服建议用户设置救援邮箱，即找回密码的邮件会发到用户设置的救援邮箱，而不是绑定了账号的主邮箱。这样就算主邮箱被盗，也不会被篡改苹果账号密码。
　　如果还不放心，可以开启两步验证，即绑定一个手机号码和获得一个固定的密钥。开启两步验证后，用户要修改密码就必须同时提供由用户自己保管的密钥和苹果官方发到绑定手机号上的验证码，缺一不可。
　　另外苹果客服也承认，掌握苹果账号密码之后无须其他验证操作就可以远程抹掉手机信息，因为苹果默认掌握账号密码者就是该iPhone的主人。&苹果官方售后有自己的工作原则，比如发现送来的设备若被机主开启了&丢失模式&，官方售后是绝对不会接手的。至于个别机主提出来的&能否帮助机主暂时扣押设备&的问题，苹果公司毕竟不是执法部门。&一位苹果负责人表示。
　　不要共用密码别装陌生软件
　　业内人士解释，icloud有一个功能是防止手机丢了之后个人信息遭泄露，它有权限来远程锁定手机并且抹去绑定设备上的所有信息。所以问题的关键是攻击者是怎么获取到用户的icloud账号密码的。
　　他分析说，大概有三种情况：最早icloud出的安全问题是某个登录接口可以暴力登录，就是用大量不同的密码去尝试登录同一个账号，这个是导致之前好莱坞一系列女星艳照遭泄露的问题。不过苹果很快修复了这个漏洞。第二个问题是，很多用户会用一些个人邮箱注册为icloud账号，这些邮箱作为账号和密码的组合，同时在别的网站使用，而且被泄露了，所以导致他的icloud账号被盗。第三种是一些用户的iPhone进行了越狱，可能会中一些木马病毒，导致账号被窃取。
　　业内建议，普通用户要提高用户安全意识，icloud账号密码不要和别的网站通用，如果是&越狱&用户的话，不要装陌生的软件。此外，苹果的注册密码不要过于简单，否则，黑客就有可能通过频繁&撞库&的方式来不断测试用户的密码。
　　苹果设备的使用体验好，是由于它是建立在云技术基础上的，设备里的通讯录、照片、备忘录、邮件以及应用数据、个人信息等可以被及时同步。但个人信息和隐私数据一旦被传上云端，保密性就会大打折扣，互联网上没有删除键，若ID密码被窃取，在网络平台上看到的就是明文数据。所以不要在云端备份诸如信用卡号、重要密码、重要工作信息、与联系人的关系、私照等内容。如果机主的工作性质需要保密，或个人事务极其重要，尽量不要打开icloud。另外，使用&查找我的iPhone&时，也要防止被人反制。