俄羅斯安全研究員Vladimir Katalov分析瞭蘋果的iCloud和Find My Phone協議,發現二者都未受到雙因素認證的保護,而在用戶完全不知情的情況下,就可以遠程下載iCloud數據。
上周四在馬來西亞吉隆坡舉行的黑客安全大會上,Vladimir Katalov通過“破壞及分析蘋果iCloud協議”的演講告訴與會者,iCloud的信息和數據並不是向蘋果對外界宣稱的那樣,完全不能訪問。
Katalov的發現佐證瞭他原來強調的說法,他曾表示蘋果可以訪問那些自己宣稱無法訪問的數據。
惡意攻擊者隻需要一個蘋果ID和密碼執行遠程iCloud備份——都不需要連接用戶的設備。
他解釋稱,用戶沒法加密自己的iCloud備份。
數據被加密,他解釋道,但是密鑰和數據是一起保存的。Katalov補充道,密鑰在蘋果公司手上。
Katalov對至頂網說,在一連串的安全連鎖事件後,蘋果的iCloud數據還保存在微軟和Amazon服務器上,對此他很震驚。
Katalov的演講指出,由於蘋果為第三方存儲供應商提供瞭完整的請求信息,所以蘋果可以把這些數據提供給執法部門。
在蘋果七月就NSA棱鏡門監控事件的發表的公告上,蘋果否認設置瞭任何後門供政府機構訪問服務器。蘋果明確表示,“蘋果不會讓執法部門訪問其服務器。”
當用戶執行iCloud備份下載的時候,他們收到瞭一封郵件,通知用戶進程是完整的。
Katalov 發現,執行遠程下載的時候,用戶不會接收到通知郵件。如果有人通過第三方遠程從iCloud訪問和下載用戶數據,用戶全然不知。
Katalov的努力意味著有人首次分析並向公眾發佈瞭蘋果秘密iCloud協議的。
Vladimir Katalov偷偷潛入越獄後的蘋果設備,分析瞭蘋果iCloud和Find My Phone——不過,他也解釋稱,在沒被越獄的手機上,照樣可以利用他發現的遠程備份協議漏洞。
他在上周四的演講中告訴與會者,分析數據流量並非難事。
蘋果的iCloud數據由用戶的數據備份構成。包括文檔,Dropbox文件和敏感用戶數據。
在他的分析裡,Katalov發現,iCloud文件是作為容器來保存——plist和content——以化整為零的映射模式進行(把文件轉化成較小的數據塊)。
但是他發現,蘋果的雙因素認證,也就是用戶名和密碼之外的安全層,並未用於iCloud備份(或Find My Phone)。
蘋果的兩步認證法不能保護iCloud備份,Find My Phone的數據及保存在雲中的文檔。Katalov在博客中進一步做瞭解釋,參看“蘋果的雙因素認證和iCloud。”(http://blog.crackpassword.com/2013/05/apple-two-factor-authentication-and-the-icloud/ )
Katalov向黑客安全大會的與會者展示瞭,如何用一些簡單的詢問就獲取認證令牌,從而訪問iCloud備份,備份ID和密鑰。然後,就可以從Windows Azure或Amazon AWS下載文件。
至頂網在其演講結束後,對他進行瞭采訪以獲取更多信息。
當問及是否已經把這個發現提交給蘋果時,他解釋稱,自己的發現是協議分析結果——並不是曝光一個漏洞。
另一方面,iCloud的安全問題屬於“特性,並非漏洞”。
當至頂網詢問Katalov是否有辦法解決這一問題時——如將雙因素認證擴展到iCloud和Find My Phone服務——他搖頭稱,蘋果的雙因素認證部署隻能算“後知後覺”。
Katalov告訴至頂網,用戶想保護iCloud數據,最好的辦法就是別用iCloud。
不過,Katalov告訴我們,他仍然將蘋果iCloud作為備份服務使用。“雖然它並不太安全,但我仍在安全和隱私之間取舍,”他說。
由於遠程攻擊者需要蘋果用戶的ID和密碼,所以大多數惡意實體還碰不到數據。
但是,獲取蘋果用戶ID和密碼並非不可能的事情——除瞭郵件釣魚技巧以外(此法比大多數看似可信的方法都有效)。社交工程技巧非常普遍,而且非常有效。
最近的一個例子是,挪威蘋果用戶的ID數據接二連三被盜。在今年二月,有大量少女被一群男生鎖定,這些男生通過推測出瞭這些女生的用戶ID和密碼恢復信息,隨後進入瞭這些女孩的蘋果賬戶,下載瞭這些女生的相片和數據——最後還拿到網上售賣。
Katalov在黑客安全大會的演講上,告訴聽眾,他很驚訝地發現,當用戶關閉定位追蹤服務的時候,用戶的位置信息仍然會保存三到六個小時。
我們想知道,是否這就是Katalov提出,即將分析Touch ID協議和存儲的原因——他對至頂網說,是因為iOS7被破解。
“蘋果稱從未發送過信息,也從未將信息復制到本地(存儲)”他補充道,“但我並不確定。”
至頂網詢問Katalov,為什麼在蘋果特別聲明沒有發送Touch ID信息後,會有這種感覺。
Katalov眼中閃爍著光芒,露出瞭男孩子般的微笑。他用濃重的俄式口音重復道“別相信任何人”。
至頂網頁聯系瞭蘋果,希望蘋果公司發表一下意見,如果蘋果給出任何回應,我們將做出更新。
Orignal From: 蘋果iCloud安全漏洞:缺乏雙因素認證
沒有留言:
張貼留言
注意:只有此網誌的成員可以留言。