再次提醒, iCloud/AppleID 账户体系可能有严重安全问题

2015-01-16 00:07:30 +08:00
 takato

我室友约1月前丢失6P一部,之后使用备机,并绑定了原来的iCloud帐号,帐号名为一个Gmail帐号

丢失之后,iCloud帐号+Gmail均开启二步验证并设置了强唯一密码

今天11点20分他的手机无故重启被抹,提示进入丢失模式。

检查邮箱没有任何被入侵痕迹,只有设备被移除的通知消息。

之前盗窃者有发送钓鱼邮件,不过他并没有在任何地方输入帐号密码,而且按照账户流程,获得帐号密码也并没有用,因为2Step的关系。

iCloud账户体系应该有后台0Day漏洞无疑

另外短信验证码校验,他留的是我的手机,20分时有一条验证码邮件,没有别的了

14132 次点击
所在节点    Apple
80 条回复
Koma
2015-01-16 15:40:32 +08:00
@takato 手机应该是找不回来了,想知道怎么回事的话,联系美国Apple那边,说明情况,看看能不能查到一些信息。比如这个账户什么时候被修改密码,解除两步验证,通过受信任设备还是邮件之类的信息。
takato
2015-01-16 15:49:48 +08:00
@Koma 刚刚联系了客服,发现一个重大bug,iCloud登录不受2Step保护,并且在上面可以抹掉2Step设备的信息而不需要2Step授权,简直是扯。
takato
2015-01-16 15:50:49 +08:00
@Koma 而且,2Step设备列表为空以后,2Step不会自动失效,还会要求使用恢复Key,这也简直是扯。。
Koma
2015-01-16 15:51:41 +08:00
@takato 你说的“在上面登录” 是指在什么上面?iCloud本身也受2Step保护的啊,web上登录iCloud都得验证。
ghy459
2015-01-16 15:52:04 +08:00
大家不要只把目光投在 Apple 身上,运营商也有很多漏洞好吧,乌云上一抓一大把=。=
为了审查的需要,短信、通话记录等都会存在运营商的某个系统上。如果你掌握了这个系统,短信验证码就浮云了。
takato
2015-01-16 15:55:29 +08:00
@Koma Apple官方表示,不受。
Koma
2015-01-16 15:55:42 +08:00
@takato 2Step 复杂的问题别找中国Apple,那帮人不懂的就会瞎扯。你直接联系美国那边。
Koma
2015-01-16 16:01:33 +08:00
@takato 别以为Apple中国能等于Apple官方,那帮技术支持都是傻逼,我很认真的这么说。我有时遇到问题找他们,他们的回答都他妈让我想笑。

iCloud应该是受保护的,除非已授权。
takato
2015-01-16 16:03:05 +08:00
@Koma 当时收到SMS了,然后,然后事情就发生了,怎么做到的呢
goodbest
2015-01-16 16:03:47 +08:00
我关于两步验证的两个凡是:

凡是苹果的两步验证,我都认为开了比不开还危险。
凡是第二步验证是短信进行的,我都认为开了比不开还危险。
Koma
2015-01-16 16:05:58 +08:00
@takato 谁知道呢,不过Apple那边肯定有操作记录,比如密码被修改了,他是用什么方式修改的,安全问题还是邮件找回密码什么的。你联系美国客服,问问能不能给你查查。
Koma
2015-01-16 16:08:47 +08:00
@goodbest 两步验证的初衷应该还是保护账户安全,不是针对这种手机丢失的情况。比如淘宝上一大堆破解Apple ID的服务,我看基本全是要手机的,没见到能直接给个ID就给破了。
exceloo
2015-01-16 16:37:10 +08:00
我刚去试了下,icloud网站除了查找我的iphone外,其他操作是要两步验证的。只有查找我的iphone不需要两步验证。
这不坑爹嘛。。。
windygoose
2015-01-16 16:47:10 +08:00
前几天丢了一个4s,不知道appid会不会有异常,关注中。。。。
goodbest
2015-01-16 16:59:02 +08:00
@exceloo 话说如果查找iphone也要求两步验证的话(比如要用丢的手机的卡来收短信,而补sim卡不方便),估计苹果又要被骂反人类了...
GhostFlying
2015-01-16 19:45:52 +08:00
@goodbest 恢复码不就是拿来干这事的么。。
hebeiround
2015-01-16 20:16:55 +08:00
9hills
2015-01-16 22:04:26 +08:00
@hebeiround 你这个和lz的区别是,lz的Apple ID被修改了密码。你这个就算成功,应该只能实现新的Apple ID替代旧的Apple ID吧

如果要修改旧的Apple ID的密码,那么在lz开了两步验证的情况下,就必须过两部验证,不管是哪个手机上。
bhqt
2015-01-17 09:37:03 +08:00
之前遇到过,我媳妇给我说他的一个常用邮箱莫名其妙的被人注册了APPLE ID,但是邮箱内没有收到任何的邮件提醒,然后使用手机的人我也不认识,相隔1000多公里。打电话给苹果也只是给我找回了帐号,他们自己也不知道为什么这个邮箱注册了APPLE ID并正常激活,但是邮箱里没有收到任何信息,邮箱也没有被异常登录,我要求删除帐号未果,只能自己不用那个APPLE ID了。然后登录了找回iphone,直接抹掉了那手机的一切信息。我邪恶了
kookpua
2016-08-08 13:28:10 +08:00
现在貌似不能 icloud 登录也要验证码了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/162557

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX