再次提醒, iCloud/AppleID 账户体系可能有严重安全问题

2015-01-16 00:07:30 +08:00
 takato

我室友约1月前丢失6P一部,之后使用备机,并绑定了原来的iCloud帐号,帐号名为一个Gmail帐号

丢失之后,iCloud帐号+Gmail均开启二步验证并设置了强唯一密码

今天11点20分他的手机无故重启被抹,提示进入丢失模式。

检查邮箱没有任何被入侵痕迹,只有设备被移除的通知消息。

之前盗窃者有发送钓鱼邮件,不过他并没有在任何地方输入帐号密码,而且按照账户流程,获得帐号密码也并没有用,因为2Step的关系。

iCloud账户体系应该有后台0Day漏洞无疑

另外短信验证码校验,他留的是我的手机,20分时有一条验证码邮件,没有别的了

14124 次点击
所在节点    Apple
80 条回复
holong2000
2015-01-16 00:45:53 +08:00
原来说iphone4会被硬解。现在看来,是全系都有漏洞。
xudshen
2015-01-16 00:52:15 +08:00
真的没有被钓鱼么

“手上有麻醉,拍一下就晕了”
archean
2015-01-16 01:00:15 +08:00
你确定吗?

有些App是有抹除权限的, 比如连接了 Exchange 邮箱的 ActiveSync.

这时候企业管理员随时可以抹除.
Koma
2015-01-16 01:01:49 +08:00
我觉得,手机在别人手上,如果破解了开机密码的话,两部验证不就没用了?
shippo7
2015-01-16 01:47:50 +08:00
如果手机上同步了两步验证的邮箱,那么只要破解手机解锁密码,短信/邮箱两步验证就没意义了。

之前有帖子讨论过利用假基站改时间,可以破解四位数解锁密码。
icloudnet
2015-01-16 02:31:55 +08:00
看看越狱了没,如果越狱了有没有安装过非AppStore的APP,使用什么越狱的(国产的,俄罗斯的,还是啥)。

另据本人观察,iCloud ID是有问题的,简单说是ID更换机制问题,具体不太好说。
lobbk1209
2015-01-16 02:50:21 +08:00
@shippo7 那复杂密码有可能利用假基站锁定时间破解么?是不是还是看密码复杂程度。。。4位数字的话也就一万个组合。。。这么看我用全是数字的8位复杂密码貌似也没啥意义了,还是改成1password那种变态复杂密码吧!哈哈
sh4n3
2015-01-16 04:46:47 +08:00
短信被劫持了?
caiych
2015-01-16 06:35:50 +08:00
http://www.zhihu.com/question/26865371
之前看到过这种手段,简要概括是用一台iPhone4伪装成你的手机激活,直接把你的Apple ID从你的手机上抹掉了。
aero99
2015-01-16 07:01:29 +08:00
@caiych 那种情况是人家不用你原来的激活邮箱而是换用别的邮箱激活从而使用被盗设备,和lz情况不一样

lz这种情况是iCloud帐号被别人窃取了,两步验证也无效,这就很可怕了

不知越狱了没有
caiych
2015-01-16 07:55:51 +08:00
@aero99 lz这里有提到iCloud帐号被窃取了么…我看了几遍也没有看到…
takato
2015-01-16 08:03:09 +08:00
@caiych 如果你了解账户流程,就知道帐号整个被窃取了
takato
2015-01-16 08:44:10 +08:00
@xudshen 确定没有被钓鱼🎣。

@aero99 没有越狱。的确是iCloud帐号被整个端掉了,而且是防护齐全的帐号,所有中间信息看起来都像是黑魔法……
shippo7
2015-01-16 09:03:39 +08:00
@takato 我前面说了只要解锁手机,就能看到邮箱里的邮件和所有短信。直接用邮箱验证找回Apple ID密码就能把你的密码改了,连密保问题都不用回答。
takato
2015-01-16 09:08:32 +08:00
@shippo7 丢失模式是需要输入ID和密码的
takato
2015-01-16 09:08:53 +08:00
@shippo7 此时起作用的已经不是解锁密码了
shippo7
2015-01-16 09:20:08 +08:00
@takato 丢失模式有漏洞也可以解,之前有帖子讨论过淘宝有卖这种服务的

/t/137063

和你的描述很像
9hills
2015-01-16 09:20:24 +08:00
@shippo7 首先两步验证的话,是没办法通过邮箱找回密码的

其次丢失模式只要你联网手机就被锁定了,不存在你联网还能收发邮件的可能性
66beta
2015-01-16 09:24:58 +08:00
那概括来说,就是短信验证码被绕过了?
takato
2015-01-16 09:27:08 +08:00
@66beta 对,我手机收到了短信验证码,但是没告诉任何人……然后直接那台机子被抹掉了,邮箱里的提示就是你的授权设备xxx被系统自动解除……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/162557

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX