为什么这么短短几行代码就把 icloud 给暴露出密码

2014-09-02 23:26:06 +08:00
 bullettrain1433
https://github.com/hackappcom/ibrute/blob/master/id_brute.py

就这点代码就给暴露了国外的艳照门,v友们怎么看
6600 次点击
所在节点    Python
18 条回复
emj365
2014-09-02 23:30:29 +08:00
看上去就是暴力破解啊,其他软件早就出二步验证了,苹果还是只有一个密码,貌似还不强制其强度。
advancedxy
2014-09-02 23:42:02 +08:00
其实没那么简单..上面那个只是 proof of concept. python单线程速度根本上不去.
只要 Apple 把 block 机制一打开, 这样的暴力破解机制立马失效. 对于任何密码来说, 暴力破解的速度是最慢的,但也是最快的,因为人懒导致使用的密码被放到别人的字典里了.
所以, 密码最好是用密码生成器来生成. 这样暴力破解几乎不太可能了..
emj365
2014-09-02 23:43:47 +08:00
@advancedxy 看到tor那段,我想应该block之后会自动换ip。年复一年日复一日。
Yvette
2014-09-03 03:33:32 +08:00
@emj365 苹果早就出了iCloud的两步验证,中国区的是过了很久才有的,但是也已经出了一两个月了。用的人少而已
geeti
2014-09-03 04:03:53 +08:00
毫无技术含量啊
pimin
2014-09-03 04:15:02 +08:00
@emj365 这里说的block不是block攻击者的ip,而是停用被攻击的appleid。
苹果有两步验证。
POC很容易改造成实际可用的exploit,生成有针对的密码库,启用多线程,如果目标价值足够甚至可以做分布式。
vose
2014-09-03 08:28:49 +08:00
抱歉,但确实不懂,两次import json 是什么意思呢?
bullettrain1433
2014-09-03 09:42:10 +08:00
@vose 哈哈,处女座吧。
sobigfish
2014-09-03 09:46:21 +08:00
#make it random!
是说udid是random的?假UDID很好识别吧,如果Apple有特定的算法的话
而且激活了find my iPhone 的设备udid也是有限的吧
vose
2014-09-03 11:00:07 +08:00
@bullettrain1433 2333 别黑处女座啦,又折回头去看 那么再 urllib2 之前应该是 urllib 啊,对齐啊,对齐!
Admstor
2014-09-03 11:13:24 +08:00
是苹果find my iphone的验证没有对尝试次数作出限制,导致了可以无限制的重复尝试才暴力破解的

这个问题暴露了苹果的icloud还是不够安全,这种验证虽然不是直接漏洞,但是如此简单的一个限制都忘记了,简直匪夷所思
另外这种暴力尝试会定然产生很异常的日志记录,说明也没有日志审查...
shiny
2014-09-03 11:27:20 +08:00
这只是一个 POC,真正拿来破密码还需要很多额外的代码要写。
dong3580
2014-09-03 11:28:44 +08:00
@Yvette
你试试水果的两步验证,很多地方都不需要验证。
tiw
2014-09-03 15:04:31 +08:00
20150517
2014-09-03 15:41:05 +08:00
问题是苹果的密码有大小写,有数字,而且是必须的,这暴力破解有用?
emj365
2014-09-03 18:47:29 +08:00
@Yvette 谢谢提醒,我今天上去想要申请2f,结果要等3天。我觉得这个应该强制比较好,就像evernote那样。
emj365
2014-09-03 18:51:18 +08:00
@Admstor 原来如此啊,那就说得通了,暴力破解~
Yvette
2014-09-03 22:01:08 +08:00
@dong3580 确实,我记得在新设备上登录iCloud服务应该是需要的,但是在浏览器里面不需要

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/131395

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX