再次提醒, iCloud/AppleID 账户体系可能有严重安全问题

2015-01-16 00:07:30 +08:00
 takato

我室友约1月前丢失6P一部,之后使用备机,并绑定了原来的iCloud帐号,帐号名为一个Gmail帐号

丢失之后,iCloud帐号+Gmail均开启二步验证并设置了强唯一密码

今天11点20分他的手机无故重启被抹,提示进入丢失模式。

检查邮箱没有任何被入侵痕迹,只有设备被移除的通知消息。

之前盗窃者有发送钓鱼邮件,不过他并没有在任何地方输入帐号密码,而且按照账户流程,获得帐号密码也并没有用,因为2Step的关系。

iCloud账户体系应该有后台0Day漏洞无疑

另外短信验证码校验,他留的是我的手机,20分时有一条验证码邮件,没有别的了

14132 次点击
所在节点    Apple
80 条回复
takato
2015-01-16 13:05:53 +08:00
@Koma 我们考虑到了,在丢了以后,2step设备里就没有那台6p了
goodbest
2015-01-16 13:13:23 +08:00
是不是开了sms relay?
takato
2015-01-16 13:22:08 +08:00
@goodbest 是指用手机接收验证码吗?这个不是在reset时候界面上就有吗
takato
2015-01-16 13:31:25 +08:00
@cst4you 现在最辛酸的如何是把自己手上的手机恢复正常。。。这个贼也真是够没有职业道德。。。
xmvagrant
2015-01-16 14:23:42 +08:00
@shippo7 orz, 这种办法都能想到。。。进设置一看,发现我的自动设置日期与时间是关掉的
exploreexe
2015-01-16 14:26:34 +08:00
这个问题之前不是讨论过么,不到一百块钱的硬件成本,淘宝破解一大堆,售价大概是500块钱,无论QQ邮箱 啥米邮箱 统统秒杀。
l12ab
2015-01-16 14:29:09 +08:00
之前一个朋友手机被偷,然后被解了锁屏密码,被解除了丢失模式。大概过程这样:

手机被偷后一直处于断网状态,然后我帮他通过icloud开启了丢失模式
他的icloud帐号是个****@icloud.com
为了第一时间获得他手机的相关信息,我在我自己的手机邮箱app里登录了他的icloud邮箱
隔了20多天,我收到邮件,手机已启用丢失模式,手机在深圳,然后我赶紧打开icloud网页,结果提示密码错误,同时又收到邮件,重置appleid密码,再收到邮件,丢失模式已解除。

所以,这个被改密码,被解除丢失模式的主要问题在于***@icloud.com这种appleid。
这种appleid,作为一个邮箱存在,手机自带的邮件app里默认显示该帐号的邮件,找回密码的邮件也是发到这个帐号,也就发到被丢失了手机上了,也是就被改密码了被解除丢失模式了
goodbest
2015-01-16 14:31:53 +08:00
@l12ab 苹果根本不允许这个icloud me 的邮箱作为appleid的主账户吧....
l12ab
2015-01-16 14:37:19 +08:00
@goodbest 我好多朋友的appleid都是这种
Koma
2015-01-16 14:38:17 +08:00
@goodbest 怎么可能不允许,早期的账号全是这样的。我的就是这样的。
takato
2015-01-16 14:56:01 +08:00
@l12ab 请仔细阅读帖子,不要空降,你连黑产业链第一条考验都没过,给你发的是个钓鱼邮件
goodbest
2015-01-16 14:57:52 +08:00
@l12ab
@Koma

至少现在不行,我说的是主账户。别名的话另说。
zjuster
2015-01-16 15:04:28 +08:00
@mcone go to fail 那个例子很难通过人工审核出来,太tricky了。也是凑巧被发现了。
zjuster
2015-01-16 15:05:34 +08:00
@l12ab 你被钓鱼了...那个登陆输ID的邮件是黑产发的。
goodbest
2015-01-16 15:05:54 +08:00
lz请看下apple ID管理页面,里面所有的邮箱是不是都没问题呢?

takato
2015-01-16 15:16:11 +08:00
@goodbest 现在ID已经被锁了,进不去了。。
Koma
2015-01-16 15:20:28 +08:00
@goodbest 你这是直接注册Apple ID吧,注册iCloud就可以。Apple ID和iCloud账户不是直接地对等关系。
l12ab
2015-01-16 15:23:26 +08:00
@takato @zjuster 不是钓鱼邮件。我收手机收到邮件提示丢失模式已启用,然后我手动在电脑上输入icloud.com,输入密码提示不对后,我才收到重置密码链接,我没有点邮件链接
Koma
2015-01-16 15:34:52 +08:00
@takato 开了两步验证可凭安全码解锁啊,还是说两步验证已经被关了。
goodbest
2015-01-16 15:35:30 +08:00
现在就是这么几个突破点:

1. lz你朋友的手机丢失,到你去修改appleID gmail的邮箱密码,中间的时间差是多少。

如果你手机锁屏密码够简单,在这个时间差内被破解了的话,你的各种改密码、加入二次验证的操作其实是在别人眼皮子下面完成的...

2. 修改密码时,是否检查appleid里面多出了奇怪的信息。

3. 小偷那边,如果连接的wifi网络运行了防火墙(阻挡了某个苹果的域名),可以阻挡苹果向该手机发送“锁定、丢失模式”的信息的话,那他一点也不怕联网会被锁定。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/162557

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX