我是如何用$200黑了别人苹果iCloud账户的……
猎云网9月9日报道 (编译:福尔摩望)
在过去的几天里,我写了很多关于近日名人照片被盗窃泄露的文章。其中很多帖子都关注于各种云服务提供商的安全性。我在研究这些盗窃案的来源及其文化的同时,不断碰到这个名词——Elcomsoft电话密码器,这个软件在社区里被称为EPPB。EPPB的出现,使得用户可以将信息从苹果iCloud服务器备份到计算机上。而可以被搜索到的备份信息包括相机照片、短信、邮件附件等等。
从本质上来说,该应用逆向编程了苹果iOS备份恢复功能。后者将备份数据下载到云而不是物理设备上。
根据版本的不同,该应用的售价分别为79.99美元和400美元。该应用也可以用来检索Windows Live(现在为OneDrive)备份,还可以解锁访问BlackBerry、BlackBerry10和iOS备份。
通过4Chan和AnonIB来分析各种图片,我们可以很明显的发现,EPPB是大多数与iCloud盗窃泄露案相关的个人所选择的工具,它也被认为是名人照片盗窃案的罪魁祸首。
EPPB甚至承诺让用户不需使用密码就可以访问iCloud备份。不错,这是铤而走险的行为,但是这也是非常吸引人的。
我很好奇,但是又有点担心。所以我决定弄清楚这个软件是如何工作的,尝试去推测为什么每个人都可以很容易的入侵一个iCloud账号。我最初的目标是我自己,但我很快发现,使用这款软件来访问我的同事、配偶以及很多其他家庭成员的iCloud备份是如此的易如反掌。
只需要200美元,再加上一点点好运气,我就可以成功破解自己的iCloud账户密码,使用EPPB从我的iPhone手机上下载我整个iCloud备份。只花400美元,我无需密码就可以成功的访问我的iCloud数据,不到60秒就可以在我登录过iCloud的Mac或Windows电脑上访问我的iCloud。这种进入iCloud的方式远比我想象中的要更容易。我甚至开始希望下载自己的iCloud数据的过程能稍微困难一点。
人们是如何获得iCloud密码
Nik Cubrilovic在他的推文中概述了这起数据盗窃案,他提到获得iCloud密码有这么几个共同向量(即攻击漏洞)。Cubrilovic按照知名度和有效性列出了它们:
密码重置(机密问题/答案)
网络钓鱼电子邮件
密码恢复(电子邮件账户被黑)
社会工程/RAT安装/认证密钥
第一种可能性——使用密码重置,可以说是非常有效的。正如Cubrilovic所写到的:“由于其恢复过程、密码请求以及检测iCloud关联邮箱的能力,苹果账户似乎特别容易被破解。”
由于恢复过程被分成了好几个步骤,所以在任何一个时间都会崩溃。虽然苹果并没有透露,作为恢复过程的一部分,邮箱地址是否就是有效的iCloud地址。不过他们的确说明了,如果你尝试使用同一邮箱注册一个新账号,那么iCloud地址就是有效的,所以验证它(或强行尝试)是否有效是很简单。第二步是验证出生日期,只要你有耐心,根据蛛丝马迹慢慢猜测就好了。而最后一步则是两个安全问题。
换句话说,我们很容易就可以弄清楚一个邮箱账户是否关联了一个苹果ID。这是第一步。其次,只需要了解到账户创建者的生日就可以进行第二步了。而生日被广泛应用于Facebook、信用报告以及其他网络上的信息。对于名人而言,这个信息甚至可以在维基百科上查询到。下一步则是需要回答两个安全问题。而解决这个,只需要简单的社交调查即可。
作为一个测试,我决定去试试,我是否可以成功地重置我姐姐的苹果ID账号密码。我输入她的iCloud用户名和生日,然后便顺利通过,进入两步认证过程了。
事实上,我只知道其中一个问题的答案。但是随意的刷新了一下问题界面,呈现在我眼前的就是一个新的组合问题。最后,我成功的找到了我都可以回答的问题组合。瞧,重置成功了!
由于一款强力工具利用了Find My iPhone缺少速率限制的漏洞,直到上周一,我都可以很容易的通过这个过程。尽管苹果已经修复了这个漏洞,但是在恰好的时间里碰到恰好的密码(这就不会受速率限制的影响)也是依然可行的。
事实上,我能够使用一个类似于iBrute的工具破解自己的密码。(显然,这要是很容易破解的密码。比如,Passw0rd1。苹果虽然不会允许我使用Passw0rd,但是Passw0rd1还是可以的。)
获得iCloud密码,你可以做些什么
这就是EPPB的“能力”所在。该程序运行在Windows上,只要求iCloud账户的用户名和密码。只要登录就可以接收到特定用户的可用设备的备份。
在故意破解了我那安全程度低的密码后,你能看见我所看到的:
现在,从我的手机里下载一切。这基本和你在电脑上使用iTunes备份一样,但是有一个很大的不同:数据未加密。使用iTunes时,你可以选择加密你的手机备份,也就是说这需要另一个密码或安全代码才能访问。而在iCloud备份里,是完全不一样的。
尽管iOS钥匙串文件是加密的(但是仍然有一些工具可以帮助破解它),但是实际的文件包括你的相机照片集、通话记录、短信和其他数据都没有加密。EPPB甚至让用户选择他们想要获得的数据类型。所以,如果你想得到储存在手机里的包含所有照片和视频的相机照片集,你就可以得到。
从这里,你就可以很简单地把备份下载到指定的文件夹里。许多iCloud盗窃者倾向于将Google Drive和Dropbox作为目标文件夹,因为这样的话就可以更容易的与他人分享这些东西。然后,任何iPhone备份浏览工具都可以用来访问任何通过这种简单的方法获得的东西。
整个过程的成本是多少?200美元。如果你直接从Elcomsoft购买该软件只需要200美元。当然,你也可以在网上获得Elcomsoft工具的破解版本。不过我认为,当该软件受到很多的公众关注后,这些抄袭版本的成功率就会逐渐减少。
正如我们之前所说的,苹果的两步认证并不会保护你的数据,它只会保护你的付款信息。不错,如果已经启用了两步认证,的确会极大的阻碍账户密码重置过程(你需要在重置密码前输入一个一次性密钥),但是设想一下,如果有人可以通过多次的钓鱼或远程访问方式获得你的密码,那么两步认证就无法保证你的iCloud备份的安全。
对我来说,这可以说是苹果安全系统的一个重大漏洞。不过,这并不是最近才发现的。早在2013年5月,EPPB的创作者Elcomsoft就指出了这一漏洞,Elcomsoft团队甚至针对此缺陷做过一次安全演示。
更糟糕的是,苹果公司鼓励用户使用强密码和两步验证方式。虽然的确很不错,但是在现在这种情况下,两步验证也无法保证安全了。如果有人可以通过直接或远程方式访问使用过iCloud的电脑,或者成功的诱导用户点击钓鱼邮件并获得密码,那么无论是否经过两步认证,iCloud的备份都可以被远程下载。
只需400美元,我就可以在我的办公室里偷取所有人的iCloud数据。
Elcomsoft的EPPB基础专业版本允许用户使用用户名和密码来下载iCloud数据。而400美元的取证版则更近一步:你甚至不需要访问密码。
你只需直接或远程访问用户登录过iCloud的机器,就可以轻而易举的得手。这是因为,Elcomsoft只需简单的复制来自Windows或OS X的iCloud认证令牌,就可以提供访问iCloud备份的权限。
EPPB还包括一个小程序,可以运行在Windows或OS X的命令行上。该程序会搜索查看用户是否安装了Windows版的iCloud控制面板(或者用户是否在OS X上登录过iCloud)。如果是的,那么它会将来自正确地方的认证令牌复制到一个文本文件里,以便于复制。然后只需输入这个令牌进入EPPB,你就可以登录并下载iCloud数据。你甚至不需要输入用户的iCloud或苹果ID的邮箱地址。
对我来说,这种攻击是最令人震惊的,因为它给我们展示了普通人可以如此容易的访问我们的云备份。我可以很容易的在整个办公室的机器上使用USB驱动器,然后运行这个程序,得到iCloud的认证令牌。这个过程用不到60秒,如果我够快的话,甚至只需30秒。
这应该是不可能的。如果苹果公司没有加密iCloud备份(它应该这么做),至少它应该确保储存在Windows或OS X上的认证令牌加密了,或者至少没有明文存储。在安全方面,我认为苹果在很多方面都做得很好,但是这一点实在是显得太业余了。
此外,这也证明了如果执法机关或政府只是直接(或远程)访问电脑,那么他们是多么容易地可以获得用户的云数据。
什么是EPPB以及它为何存在
似乎将盗窃iCloud备份怪罪到这些工具身上有一些太容易了(在这个例子里是EPPB)。然而,事实是,这些工具存在是有其原因的,并且它们也有很多有效的目的。
像EPPB这些工具的目标客户有执法部门、修理店和IT管理员。执法机构经常使用取证工具去尝试恢复数字设备里的信息,而这些数字设备可能会提供犯罪证据。
这种软件程序也不是最新的。只要我们的门上或保险柜上有锁,那么必定会有锁匠和安全解密人员的存在。
在桌面计算世界里,有一整块致力于开发计算机取证、数据恢复和账户访问应用的细分市场。
在上大学的时候,我曾在一个生产链上做过PC机和Mac的修理工作。当时(我们说的可是十年前),在修复客户的机器时,我就使用这些工具。
我曾在USB棒、DVD和CD上下满了像ERD Commander、BartPE和Offline Nt Password Reset这样的应用,随身携带。直到今天,我仍然收藏着Mac的取证软件,以便我可以更好地在家庭网络里诊断和修复各种Mac台式机和笔记本电脑。这就是当我看到这么多针对智能手机的取证软件之后并不觉得惊讶的原因。
不过,虽然我很认同像EPPB这样的工具应该存在(对于那些心无杂念的人来说是很用的),但是我并不太喜欢这些工具是这么廉价这么容易获得。
也许我很天真,但是我并不希望能这么容易就访问我的云数据。我也没想到这款软件能有一个坚实的用户界面和相对低廉的价格。
虽然对一些用户来说,一款软件200美元或者400美元有点贵,但是相比其他手机取证工具一次数千美元的收费要便宜的多。这或许就是EPPB会成为4chan和AnonIB选择的工具的原因。对于执法部门来说,价格便宜,可以破解DRM,也没有昂贵的加密狗要求,这些都是很有诱惑力的选项。
EPPB知道它在iCloud黑客应用领域很有声誉,而该公司的回应也正如你期望中的一样:“对于该款软件被这样使用我们感到很抱歉,但是这不是我们的本意。”老实说,我觉得这个态度还可以接受。毕竟,只要有锁的存在,就必定有解锁的存在。
但是,说到这个,我的确相信云提供商有责任反转这样的局面,去使这些解决办法解决起来更困难。
苹果等应努力设置路障,减少用户被“黑”
通过我黑进自己iCloud账户(和我姐姐的账户)以及从EPPB访问iCloud数据的经历,我看到一些很明显的事实:苹果可以使个人更难访问iCloud数据,即使是使用取证软件。
加密iCloud备份。我知道加密备份将会使手机恢复过程更加漫长,而且会有负面的客户影响。但是我认为这是苹果需要立即做的事。如果人们从iCloud上下载下来的东西被加密了,而密钥只可以打开我指定登录的设备的话,我会觉得更好。
停止以明文存储iCloud验证令牌。要知道,只需要60秒,我就可以访问同事的iCloud备份了,这实在是太疯狂了。而不再以明文存储数据可以防止这类事情的发生。
两步认证不应只被应用于支付领域。我知道对于大多数用户来说,最迫切的是防止信用卡信息被盗而不是照片信息。但是,这次的名人照片盗窃事件表明,已经形成整体的地下亚文化。在这种亚文化的背景下,有些人开始随意进入朋友、熟人、配偶、女朋友甚至前女友的账户。作为普通用户,我们首先要担心的并不是谁黑了你的账户,而是他们竟然可以如此轻易的进入他人账户。而iCloud备份的两步验证将会使入侵的难度加大。
使两步题验证更容易设置。苹果现行的过程是不太直观,并不是很容易设置。整个过程不仅仅需要花费3天的时间来做,而且使用方式很不友好。所以在这个方面,苹果需要做的更好。
对iCloud备份的安全性以及其他人访问数据的容易性要公开透明。
对我来说,令我极其不安的不仅仅是看到他人是如此轻易的访问我的iCloud数据,还有已启用的两步验证方式。
我并不打算禁用iCloud或它的自动备份功能,我会继续付钱去增加额外的iCloud存储空间。然而,这的确使我重新思考了一下,一旦苹果和iOS 8一起推出了新的定价计划,我是否还有必要购买更多的空间。我之前曾想把我的文件都存放在iCloud上,但是现在,我已经不怎么确定了。
关于这一切,最可怕的事实是:作为一个有待改善的行业,它仅仅只是重申了一下信息安全的必要性。我们需要学习改进的是用户该如何接受教育,系统该如何实施,威胁该如何解决。
Source: Mashable