V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
takato
V2EX  ›  Apple

再次提醒, iCloud/AppleID 账户体系可能有严重安全问题

  •  
  •   takato · 2015-01-16 00:07:30 +08:00 · 14096 次点击
    这是一个创建于 3602 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我室友约1月前丢失6P一部,之后使用备机,并绑定了原来的iCloud帐号,帐号名为一个Gmail帐号

    丢失之后,iCloud帐号+Gmail均开启二步验证并设置了强唯一密码

    今天11点20分他的手机无故重启被抹,提示进入丢失模式。

    检查邮箱没有任何被入侵痕迹,只有设备被移除的通知消息。

    之前盗窃者有发送钓鱼邮件,不过他并没有在任何地方输入帐号密码,而且按照账户流程,获得帐号密码也并没有用,因为2Step的关系。

    iCloud账户体系应该有后台0Day漏洞无疑

    另外短信验证码校验,他留的是我的手机,20分时有一条验证码邮件,没有别的了

    第 1 条附言  ·  2015-01-16 08:45:25 +08:00
    不只是解锁那个丢失手机的事情,而是整个appleID都被黑魔法了,而且是个强安全的appleID……我现在想不明白除了内鬼或者后门漏洞还有啥方法了
    第 2 条附言  ·  2015-01-16 15:54:39 +08:00
    现在大概搞清楚原因了:

    1.目前iCloud登录不受2Step验证保护,只有AppleID登录受保护(两个是不一样的概念)

    2.iCloud可以抹掉2Step设备,不需要2Step设备授权

    3.2Step设备列表为空的时候,2Step也没有失效,反而是帐号被Lock,要求出示恢复Key

    4.恢复Key现在也一起西去了

    虽然他本人是有主观过错,不过2和3也太奇怪了吧,等于坐在树上能把树砍了。
    80 条回复    2016-08-08 13:28:10 +08:00
    holong2000
        1
    holong2000  
       2015-01-16 00:45:53 +08:00
    原来说iphone4会被硬解。现在看来,是全系都有漏洞。
    xudshen
        2
    xudshen  
       2015-01-16 00:52:15 +08:00 via iPhone
    真的没有被钓鱼么

    “手上有麻醉,拍一下就晕了”
    archean
        3
    archean  
       2015-01-16 01:00:15 +08:00
    你确定吗?

    有些App是有抹除权限的, 比如连接了 Exchange 邮箱的 ActiveSync.

    这时候企业管理员随时可以抹除.
    Koma
        4
    Koma  
       2015-01-16 01:01:49 +08:00
    我觉得,手机在别人手上,如果破解了开机密码的话,两部验证不就没用了?
    shippo7
        5
    shippo7  
       2015-01-16 01:47:50 +08:00
    如果手机上同步了两步验证的邮箱,那么只要破解手机解锁密码,短信/邮箱两步验证就没意义了。

    之前有帖子讨论过利用假基站改时间,可以破解四位数解锁密码。
    icloudnet
        6
    icloudnet  
       2015-01-16 02:31:55 +08:00
    看看越狱了没,如果越狱了有没有安装过非AppStore的APP,使用什么越狱的(国产的,俄罗斯的,还是啥)。

    另据本人观察,iCloud ID是有问题的,简单说是ID更换机制问题,具体不太好说。
    lobbk1209
        7
    lobbk1209  
       2015-01-16 02:50:21 +08:00
    @shippo7 那复杂密码有可能利用假基站锁定时间破解么?是不是还是看密码复杂程度。。。4位数字的话也就一万个组合。。。这么看我用全是数字的8位复杂密码貌似也没啥意义了,还是改成1password那种变态复杂密码吧!哈哈
    sh4n3
        8
    sh4n3  
       2015-01-16 04:46:47 +08:00
    短信被劫持了?
    caiych
        9
    caiych  
       2015-01-16 06:35:50 +08:00
    http://www.zhihu.com/question/26865371
    之前看到过这种手段,简要概括是用一台iPhone4伪装成你的手机激活,直接把你的Apple ID从你的手机上抹掉了。
    aero99
        10
    aero99  
       2015-01-16 07:01:29 +08:00 via iPhone
    @caiych 那种情况是人家不用你原来的激活邮箱而是换用别的邮箱激活从而使用被盗设备,和lz情况不一样

    lz这种情况是iCloud帐号被别人窃取了,两步验证也无效,这就很可怕了

    不知越狱了没有
    caiych
        11
    caiych  
       2015-01-16 07:55:51 +08:00
    @aero99 lz这里有提到iCloud帐号被窃取了么…我看了几遍也没有看到…
    takato
        12
    takato  
    OP
       2015-01-16 08:03:09 +08:00 via iPhone
    @caiych 如果你了解账户流程,就知道帐号整个被窃取了
    takato
        13
    takato  
    OP
       2015-01-16 08:44:10 +08:00 via iPhone
    @xudshen 确定没有被钓鱼🎣。

    @aero99 没有越狱。的确是iCloud帐号被整个端掉了,而且是防护齐全的帐号,所有中间信息看起来都像是黑魔法……
    shippo7
        14
    shippo7  
       2015-01-16 09:03:39 +08:00
    @takato 我前面说了只要解锁手机,就能看到邮箱里的邮件和所有短信。直接用邮箱验证找回Apple ID密码就能把你的密码改了,连密保问题都不用回答。
    takato
        15
    takato  
    OP
       2015-01-16 09:08:32 +08:00 via iPhone
    @shippo7 丢失模式是需要输入ID和密码的
    takato
        16
    takato  
    OP
       2015-01-16 09:08:53 +08:00 via iPhone
    @shippo7 此时起作用的已经不是解锁密码了
    shippo7
        17
    shippo7  
       2015-01-16 09:20:08 +08:00
    @takato 丢失模式有漏洞也可以解,之前有帖子讨论过淘宝有卖这种服务的

    /t/137063

    和你的描述很像
    9hills
        18
    9hills  
       2015-01-16 09:20:24 +08:00 via iPhone
    @shippo7 首先两步验证的话,是没办法通过邮箱找回密码的

    其次丢失模式只要你联网手机就被锁定了,不存在你联网还能收发邮件的可能性
    66beta
        19
    66beta  
       2015-01-16 09:24:58 +08:00
    那概括来说,就是短信验证码被绕过了?
    takato
        20
    takato  
    OP
       2015-01-16 09:27:08 +08:00 via iPhone
    @66beta 对,我手机收到了短信验证码,但是没告诉任何人……然后直接那台机子被抹掉了,邮箱里的提示就是你的授权设备xxx被系统自动解除……
    yksoft1
        21
    yksoft1  
       2015-01-16 09:42:53 +08:00
    我早就感觉华强北在苹果有内线了。妖机板机无论苹果怎么弄,都根本消灭不了,而且推陈出新
    另外,最近我也遭受了神秘事件,skype账号被盗、币种被改、找回、被怀疑有不正行为被封、申请解封成功
    omi4399
        22
    omi4399  
       2015-01-16 09:49:08 +08:00
    我的 steam 突然被改密码也不是一次两次了,内线肯定是有
    mcone
        23
    mcone  
       2015-01-16 09:58:37 +08:00
    短信验证码被绕过……感觉像是内鬼啊

    我没试过,难道短信验证码是纯数字的?后台忘了加尝试次数验证,被爆破了?
    takato
        24
    takato  
    OP
       2015-01-16 10:06:39 +08:00
    @mcone 4位,纯数字。我没试过是不是可以爆破,如果可以,那Apple也太傻了....个人感觉应该是内鬼所为
    xmvagrant
        25
    xmvagrant  
       2015-01-16 10:27:35 +08:00
    @shippo7 求假基站改时间,可以破解四位数解锁密码的链接,想了解一下
    9hills
        26
    9hills  
       2015-01-16 10:37:34 +08:00
    @takato 而且想解绑的话,破了解锁密码不行。要想实现你正文中说的效果,必须破掉二次验证。

    就是你的二次验证码或者恢复密钥被泄漏了。。。会不会恢复密钥泄漏了?

    有了恢复密钥,不需要其他信息便可以随意重置密码等。
    shippo7
        27
    shippo7  
       2015-01-16 11:19:48 +08:00 via iPhone
    takato
        28
    takato  
    OP
       2015-01-16 11:26:41 +08:00
    @shippo7 已经查过邮箱,没有任何邮件记录,客户端删信是没法删干净的
    shippo7
        29
    shippo7  
       2015-01-16 11:28:14 +08:00 via iPhone
    @xmvagrant 原理就是iPhone打开自动时区之后,会通过运营商基站来调整时间。四位解锁密码多次输入错误之后会限制一段时间内重试,通过假基站修改系统时间来跳过这个限制,在配合华强北开发出的一种机械手硬件,模拟触摸屏输入来暴力破解密码
    takato
        30
    takato  
    OP
       2015-01-16 11:29:43 +08:00
    @shippo7 然后下个问题:他如何获得iCloud帐号所有权呢
    lisonfan
        31
    lisonfan  
       2015-01-16 11:33:23 +08:00
    就这么肯定iCloud后台有0day漏洞?
    还有一个捡手机的人会有这么牛逼?
    shippo7
        32
    shippo7  
       2015-01-16 11:36:10 +08:00 via iPhone
    @takato Apple ID 的密码有没有被修改?
    takato
        33
    takato  
    OP
       2015-01-16 11:37:58 +08:00
    @shippo7 被修改,但是邮箱毫无异样
    shippo7
        34
    shippo7  
       2015-01-16 11:47:15 +08:00 via iPhone
    @takato Apple ID 找回密码有两种方式,一个是通过邮箱,另一个是回答密保问题。也有可能是密保问题被猜出来的原因?不过前面有人说了如果有两部验证的话还要通过验证,还想不出是如何通过这一步的
    takato
        35
    takato  
    OP
       2015-01-16 11:48:33 +08:00
    @shippo7 是的,如果有2Step,通过2Step是必备的条件
    mcone
        36
    mcone  
       2015-01-16 12:00:32 +08:00
    @takato 我也觉得内鬼可能性最大,我只知道苹果店面**经理**以上级别的人,都可以有直接解锁等appleID操作的权力;但是我不知道他们内部是怎么制衡/记录/审查这个权力的

    另外我觉得苹果被神化了,爆破也不是没可能,去年apple就修复了一个iCloud爆破密码的接口,修复了一个 go to fail的低级代码错误(可以说这段代码没有经过任何形式的代码审查)……
    takato
        37
    takato  
    OP
       2015-01-16 12:06:23 +08:00
    @mcone 而且匪夷所思的是,2step设备被解除的邮件里写的文案是『被系统自动解除』。这个让我非常疑惑,什么样的操作可以『被系统自动解除』呢
    exceloo
        38
    exceloo  
       2015-01-16 12:21:48 +08:00
    这个肯定是有gmail和icloud的0day,要不然淘宝上也不会这么多gmail秒破了apple id不知道可以改邮箱吗
    Koma
        39
    Koma  
       2015-01-16 12:44:08 +08:00
    @66beta
    @mcone
    @shippo7

    两步验证的的话,除了短信,受信任设备也可以接受验证码的,丢失的iPhone6本身就是受信任设备吧。当然,我没用过丢失模式,不知道在丢失模式下是否可以收到。
    cst4you
        40
    cst4you  
       2015-01-16 12:51:18 +08:00
    反正综合这么多奇怪的情况, 现在的 iPhone 丢了就别想找回了.

    我朋友带着公司的测试 iPhone6 丢了, 我们也一直在等这个黑魔法会不会发生在他身上, 等了1个月还没发生...
    takato
        41
    takato  
    OP
       2015-01-16 13:05:53 +08:00 via iPhone
    @Koma 我们考虑到了,在丢了以后,2step设备里就没有那台6p了
    goodbest
        42
    goodbest  
       2015-01-16 13:13:23 +08:00
    是不是开了sms relay?
    takato
        43
    takato  
    OP
       2015-01-16 13:22:08 +08:00
    @goodbest 是指用手机接收验证码吗?这个不是在reset时候界面上就有吗
    takato
        44
    takato  
    OP
       2015-01-16 13:31:25 +08:00
    @cst4you 现在最辛酸的如何是把自己手上的手机恢复正常。。。这个贼也真是够没有职业道德。。。
    xmvagrant
        45
    xmvagrant  
       2015-01-16 14:23:42 +08:00
    @shippo7 orz, 这种办法都能想到。。。进设置一看,发现我的自动设置日期与时间是关掉的
    exploreexe
        46
    exploreexe  
       2015-01-16 14:26:34 +08:00
    这个问题之前不是讨论过么,不到一百块钱的硬件成本,淘宝破解一大堆,售价大概是500块钱,无论QQ邮箱 啥米邮箱 统统秒杀。
    l12ab
        47
    l12ab  
       2015-01-16 14:29:09 +08:00
    之前一个朋友手机被偷,然后被解了锁屏密码,被解除了丢失模式。大概过程这样:

    手机被偷后一直处于断网状态,然后我帮他通过icloud开启了丢失模式
    他的icloud帐号是个****@icloud.com
    为了第一时间获得他手机的相关信息,我在我自己的手机邮箱app里登录了他的icloud邮箱
    隔了20多天,我收到邮件,手机已启用丢失模式,手机在深圳,然后我赶紧打开icloud网页,结果提示密码错误,同时又收到邮件,重置appleid密码,再收到邮件,丢失模式已解除。

    所以,这个被改密码,被解除丢失模式的主要问题在于***@icloud.com这种appleid。
    这种appleid,作为一个邮箱存在,手机自带的邮件app里默认显示该帐号的邮件,找回密码的邮件也是发到这个帐号,也就发到被丢失了手机上了,也是就被改密码了被解除丢失模式了
    goodbest
        48
    goodbest  
       2015-01-16 14:31:53 +08:00
    @l12ab 苹果根本不允许这个icloud me 的邮箱作为appleid的主账户吧....
    l12ab
        49
    l12ab  
       2015-01-16 14:37:19 +08:00
    @goodbest 我好多朋友的appleid都是这种
    Koma
        50
    Koma  
       2015-01-16 14:38:17 +08:00
    @goodbest 怎么可能不允许,早期的账号全是这样的。我的就是这样的。
    takato
        51
    takato  
    OP
       2015-01-16 14:56:01 +08:00
    @l12ab 请仔细阅读帖子,不要空降,你连黑产业链第一条考验都没过,给你发的是个钓鱼邮件
    goodbest
        52
    goodbest  
       2015-01-16 14:57:52 +08:00
    @l12ab
    @Koma

    至少现在不行,我说的是主账户。别名的话另说。
    zjuster
        53
    zjuster  
       2015-01-16 15:04:28 +08:00
    @mcone go to fail 那个例子很难通过人工审核出来,太tricky了。也是凑巧被发现了。
    zjuster
        54
    zjuster  
       2015-01-16 15:05:34 +08:00
    @l12ab 你被钓鱼了...那个登陆输ID的邮件是黑产发的。
    goodbest
        55
    goodbest  
       2015-01-16 15:05:54 +08:00
    lz请看下apple ID管理页面,里面所有的邮箱是不是都没问题呢?

    takato
        56
    takato  
    OP
       2015-01-16 15:16:11 +08:00
    @goodbest 现在ID已经被锁了,进不去了。。
    Koma
        57
    Koma  
       2015-01-16 15:20:28 +08:00
    @goodbest 你这是直接注册Apple ID吧,注册iCloud就可以。Apple ID和iCloud账户不是直接地对等关系。
    l12ab
        58
    l12ab  
       2015-01-16 15:23:26 +08:00
    @takato @zjuster 不是钓鱼邮件。我收手机收到邮件提示丢失模式已启用,然后我手动在电脑上输入icloud.com,输入密码提示不对后,我才收到重置密码链接,我没有点邮件链接
    Koma
        59
    Koma  
       2015-01-16 15:34:52 +08:00
    @takato 开了两步验证可凭安全码解锁啊,还是说两步验证已经被关了。
    goodbest
        60
    goodbest  
       2015-01-16 15:35:30 +08:00
    现在就是这么几个突破点:

    1. lz你朋友的手机丢失,到你去修改appleID gmail的邮箱密码,中间的时间差是多少。

    如果你手机锁屏密码够简单,在这个时间差内被破解了的话,你的各种改密码、加入二次验证的操作其实是在别人眼皮子下面完成的...

    2. 修改密码时,是否检查appleid里面多出了奇怪的信息。

    3. 小偷那边,如果连接的wifi网络运行了防火墙(阻挡了某个苹果的域名),可以阻挡苹果向该手机发送“锁定、丢失模式”的信息的话,那他一点也不怕联网会被锁定。
    Koma
        61
    Koma  
       2015-01-16 15:40:32 +08:00
    @takato 手机应该是找不回来了,想知道怎么回事的话,联系美国Apple那边,说明情况,看看能不能查到一些信息。比如这个账户什么时候被修改密码,解除两步验证,通过受信任设备还是邮件之类的信息。
    takato
        62
    takato  
    OP
       2015-01-16 15:49:48 +08:00
    @Koma 刚刚联系了客服,发现一个重大bug,iCloud登录不受2Step保护,并且在上面可以抹掉2Step设备的信息而不需要2Step授权,简直是扯。
    takato
        63
    takato  
    OP
       2015-01-16 15:50:49 +08:00
    @Koma 而且,2Step设备列表为空以后,2Step不会自动失效,还会要求使用恢复Key,这也简直是扯。。
    Koma
        64
    Koma  
       2015-01-16 15:51:41 +08:00
    @takato 你说的“在上面登录” 是指在什么上面?iCloud本身也受2Step保护的啊,web上登录iCloud都得验证。
    ghy459
        65
    ghy459  
       2015-01-16 15:52:04 +08:00
    大家不要只把目光投在 Apple 身上,运营商也有很多漏洞好吧,乌云上一抓一大把=。=
    为了审查的需要,短信、通话记录等都会存在运营商的某个系统上。如果你掌握了这个系统,短信验证码就浮云了。
    takato
        66
    takato  
    OP
       2015-01-16 15:55:29 +08:00
    @Koma Apple官方表示,不受。
    Koma
        67
    Koma  
       2015-01-16 15:55:42 +08:00
    @takato 2Step 复杂的问题别找中国Apple,那帮人不懂的就会瞎扯。你直接联系美国那边。
    Koma
        68
    Koma  
       2015-01-16 16:01:33 +08:00
    @takato 别以为Apple中国能等于Apple官方,那帮技术支持都是傻逼,我很认真的这么说。我有时遇到问题找他们,他们的回答都他妈让我想笑。

    iCloud应该是受保护的,除非已授权。
    takato
        69
    takato  
    OP
       2015-01-16 16:03:05 +08:00
    @Koma 当时收到SMS了,然后,然后事情就发生了,怎么做到的呢
    goodbest
        70
    goodbest  
       2015-01-16 16:03:47 +08:00
    我关于两步验证的两个凡是:

    凡是苹果的两步验证,我都认为开了比不开还危险。
    凡是第二步验证是短信进行的,我都认为开了比不开还危险。
    Koma
        71
    Koma  
       2015-01-16 16:05:58 +08:00
    @takato 谁知道呢,不过Apple那边肯定有操作记录,比如密码被修改了,他是用什么方式修改的,安全问题还是邮件找回密码什么的。你联系美国客服,问问能不能给你查查。
    Koma
        72
    Koma  
       2015-01-16 16:08:47 +08:00
    @goodbest 两步验证的初衷应该还是保护账户安全,不是针对这种手机丢失的情况。比如淘宝上一大堆破解Apple ID的服务,我看基本全是要手机的,没见到能直接给个ID就给破了。
    exceloo
        73
    exceloo  
       2015-01-16 16:37:10 +08:00
    我刚去试了下,icloud网站除了查找我的iphone外,其他操作是要两步验证的。只有查找我的iphone不需要两步验证。
    这不坑爹嘛。。。
    windygoose
        74
    windygoose  
       2015-01-16 16:47:10 +08:00
    前几天丢了一个4s,不知道appid会不会有异常,关注中。。。。
    goodbest
        75
    goodbest  
       2015-01-16 16:59:02 +08:00
    @exceloo 话说如果查找iphone也要求两步验证的话(比如要用丢的手机的卡来收短信,而补sim卡不方便),估计苹果又要被骂反人类了...
    GhostFlying
        76
    GhostFlying  
       2015-01-16 19:45:52 +08:00
    @goodbest 恢复码不就是拿来干这事的么。。
    hebeiround
        77
    hebeiround  
       2015-01-16 20:16:55 +08:00 via iPhone
    9hills
        78
    9hills  
       2015-01-16 22:04:26 +08:00
    @hebeiround 你这个和lz的区别是,lz的Apple ID被修改了密码。你这个就算成功,应该只能实现新的Apple ID替代旧的Apple ID吧

    如果要修改旧的Apple ID的密码,那么在lz开了两步验证的情况下,就必须过两部验证,不管是哪个手机上。
    bhqt
        79
    bhqt  
       2015-01-17 09:37:03 +08:00
    之前遇到过,我媳妇给我说他的一个常用邮箱莫名其妙的被人注册了APPLE ID,但是邮箱内没有收到任何的邮件提醒,然后使用手机的人我也不认识,相隔1000多公里。打电话给苹果也只是给我找回了帐号,他们自己也不知道为什么这个邮箱注册了APPLE ID并正常激活,但是邮箱里没有收到任何信息,邮箱也没有被异常登录,我要求删除帐号未果,只能自己不用那个APPLE ID了。然后登录了找回iphone,直接抹掉了那手机的一切信息。我邪恶了
    kookpua
        80
    kookpua  
       2016-08-08 13:28:10 +08:00
    现在貌似不能 icloud 登录也要验证码了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1014 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 21:12 · PVG 05:12 · LAX 13:12 · JFK 16:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.