苹果iCloud遭SSL中间人劫持 用户如何防范隐私泄露
近日,苹果iCloud服务器在中国被人使用SSL中间人劫持,部分地区用户隐私恐将不保。据了解,苹果iCloud网站有多个IP地址,若用户访问苹果iCloud时被随机分配到23.59.94.46这一IP地址,又忽视了网页安全警告,输入到iCloud的用户名和密码都会被制造自签证书的中间人拿到,存储在iCloud的私房照片、钥匙圈里的各种帐号、密码都会被别人偷走,前不久,好莱坞“艳照门”就是黑客入侵明星们的iCloud账户引起的。
在此,沃通CA提醒用户,在使用云服务时牢记以下几点,防范隐私被泄露!
1、 遇到“网站安全证书不受信任”的浏览器警告,请勿继续访问!
过去,由于国内网站运营者的安全意识薄弱,多数网站为节省费用,采用不受浏览器信任的自签名SSL证书,自签证书泛滥成灾。安装自签证书的网站频繁报错,导致中国用户在使用过程中,养成了一个非常不安全的习惯,就是当浏览器提示“网站安全证书不受信任”时,不自觉地就点击“继续浏览”。
此次iCloud用户信息泄露,正是因为忽视了网页安全警告,继续登录使用,让SSL中间人有了可乘之机。沃通CA(www.wosign.com)提醒您,在使用云服务、网上银行、网上支付等网络应用时,遇到“网站安全证书不受信任”的警告,绝对不能继续登录使用、输入账号密码等。
不同的浏览器会提示不同的安全警告语,以下是各浏览器对iCloud的安全警告。
图一:IE 浏览器对iCloud的安全警告图
图二:火狐浏览器对iCloud的安全警告图
图三:360浏览器对iCloud的安全警告图
图四:chrome浏览器对iCloud的安全警告图
图五:Safari浏览器对iCloud的安全警告图
2、一定要选择使用了SSL证书的云服务
云服务、网上银行、网上支付等重要的网络应用服务,一定要选择使用SSL证书的网站。用了SSL证书不也被中间人攻击吗?但如果没有用SSL证书加密的应用服务,根本无需中间人攻击,隐私信息直接“裸奔”了,任何人都能截获。
为了维护品牌形象和用户数据安全,建议网络应用服务提供商一定要部署全球信任的SSL证书,通过SSL加密保证用户数据安全,通过SSL认证,防钓鱼网站仿冒。不要与欺诈网站为伍,采用不受信任的自签证书,网站长期被浏览器报错,影响品牌形象,并给SSL中间人大开后门。
为了让更多网站能实现SSL加密,沃通CA已推出一款全球信任的免费SSL证书,支持所有浏览器和主流移动终端,还可不限次数地免费续签,相当于永久免费,让所有的网站都能零成本保网站安全,根本无需使用自签证书。同时,沃通CA也提供收费SSL证书,为安全需求更高的网站,提供更高安全级别的防护,如显示绿色地址栏和中文单位名称等。
3、重要的数据文件,使用PDF文件加密证书,签名加密后再上传到云服务。
目前大部分云服务不提供安全存储服务,而少数使用简单的自编算法加密,防护作用也不大。用户如何保证自己的机密文件安全的存在云服务器上?求人不如求己,沃通CA给您支妙招。您只要申请一张PDF文件加密证书,将机密文件转成PDF格式后签名加密,那这份文件无论放在哪里,都没有人能窃取了。因为内容是密文,窃取了也没用,2048位公钥加密根本无法破解。同样,选择PDF文件加密证书时,也应选择受Adobe信任的证书,比如沃通CA根证书已通过Adobe认证,提供的PDF文件加密证书受Adobe信任。
图六:PDF文件加密证书和签名效果 图
4、 倡导各大云服务网站,使用客户端证书登录
比尔·盖茨曾表示,口令密码登录方式将很快成为历史。数字证书登录方式,将成为未来的趋势,采用数字证书登录云服务,可以避免口令密码太脆弱、易破解、容易被泄露的安全问题。但由于客户端证书申请、验证、安装等方面的易用性存在问题,导致客户端证书登录的方式尚未普及应用。针对这些问题,沃通CA提出个性定制客户端证书的服务,根据证书的使用场景自定义证书字段,简化申请、验证流程,更加方便、快捷、安全。倡导各大云服务网站,采用客户端证书登录方式,为客户提供一个更安全的登录途径,保障用户数据安全。
图七:PC端证书登录效果 图
图八:移动端证书登录效果图
结语
习近平总书记提出了“没有网络安全就没有国家安全”的概念,同样的“没有网络安全,就没有个人隐私安全”。在大数据时代,任何看似不重要的信息数据,都可能泄露您的隐私信息。无论是网络服务提供商还是用户,都应提供信息安全意识,让以贩卖隐私为生的不法者无机可乘!