为什么这么短短几行代码就把 icloud 给暴露出密码

看上去就是暴力破解啊，其他软件早就出二步验证了，苹果还是只有一个密码，貌似还不强制其强度。

其实没那么简单..上面那个只是 proof of concept. python单线程速度根本上不去.
只要 Apple 把 block 机制一打开, 这样的暴力破解机制立马失效. 对于任何密码来说, 暴力破解的速度是最慢的,但也是最快的,因为人懒导致使用的密码被放到别人的字典里了.
所以, 密码最好是用密码生成器来生成. 这样暴力破解几乎不太可能了..

@advancedxy 看到tor那段，我想应该block之后会自动换ip。年复一年日复一日。

@emj365 苹果早就出了iCloud的两步验证，中国区的是过了很久才有的，但是也已经出了一两个月了。用的人少而已

毫无技术含量啊

@emj365 这里说的block不是block攻击者的ip，而是停用被攻击的appleid。
苹果有两步验证。
POC很容易改造成实际可用的exploit，生成有针对的密码库，启用多线程，如果目标价值足够甚至可以做分布式。

抱歉，但确实不懂，两次import json 是什么意思呢？

@vose 哈哈，处女座吧。

#make it random!
是说udid是random的？假UDID很好识别吧，如果Apple有特定的算法的话
而且激活了find my iPhone 的设备udid也是有限的吧

@bullettrain1433 2333 别黑处女座啦，又折回头去看 那么再 urllib2 之前应该是 urllib 啊，对齐啊，对齐！

是苹果find my iphone的验证没有对尝试次数作出限制,导致了可以无限制的重复尝试才暴力破解的

这个问题暴露了苹果的icloud还是不够安全,这种验证虽然不是直接漏洞,但是如此简单的一个限制都忘记了,简直匪夷所思
另外这种暴力尝试会定然产生很异常的日志记录,说明也没有日志审查...

这只是一个 POC，真正拿来破密码还需要很多额外的代码要写。

@Yvette
你试试水果的两步验证，很多地方都不需要验证。

问题是苹果的密码有大小写，有数字，而且是必须的，这暴力破解有用？

@Yvette 谢谢提醒，我今天上去想要申请2f，结果要等3天。我觉得这个应该强制比较好，就像evernote那样。

@Admstor 原来如此啊，那就说得通了，暴力破解～

@dong3580 确实，我记得在新设备上登录iCloud服务应该是需要的，但是在浏览器里面不需要