V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐学习书目
Learn Python the Hard Way
Python Sites
PyPI - Python Package Index
http://diveintopython.org/toc/index.html
Pocoo
值得关注的项目
PyPy
Celery
Jinja2
Read the Docs
gevent
pyenv
virtualenv
Stackless Python
Beautiful Soup
结巴中文分词
Green Unicorn
Sentry
Shovel
Pyflakes
pytest
Python 编程
pep8 Checker
Styles
PEP 8
Google Python Style Guide
Code Style from The Hitchhiker's Guide
bullettrain1433
V2EX  ›  Python

为什么这么短短几行代码就把 icloud 给暴露出密码

  •  
  •   bullettrain1433 ·
    Bullettrain · 2014-09-02 23:26:06 +08:00 · 6563 次点击
    这是一个创建于 3728 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://github.com/hackappcom/ibrute/blob/master/id_brute.py

    就这点代码就给暴露了国外的艳照门,v友们怎么看
    18 条回复    2014-09-03 22:01:08 +08:00
    emj365
        1
    emj365  
       2014-09-02 23:30:29 +08:00
    看上去就是暴力破解啊,其他软件早就出二步验证了,苹果还是只有一个密码,貌似还不强制其强度。
    advancedxy
        2
    advancedxy  
       2014-09-02 23:42:02 +08:00
    其实没那么简单..上面那个只是 proof of concept. python单线程速度根本上不去.
    只要 Apple 把 block 机制一打开, 这样的暴力破解机制立马失效. 对于任何密码来说, 暴力破解的速度是最慢的,但也是最快的,因为人懒导致使用的密码被放到别人的字典里了.
    所以, 密码最好是用密码生成器来生成. 这样暴力破解几乎不太可能了..
    emj365
        3
    emj365  
       2014-09-02 23:43:47 +08:00
    @advancedxy 看到tor那段,我想应该block之后会自动换ip。年复一年日复一日。
    Yvette
        4
    Yvette  
       2014-09-03 03:33:32 +08:00
    @emj365 苹果早就出了iCloud的两步验证,中国区的是过了很久才有的,但是也已经出了一两个月了。用的人少而已
    geeti
        5
    geeti  
       2014-09-03 04:03:53 +08:00
    毫无技术含量啊
    pimin
        6
    pimin  
       2014-09-03 04:15:02 +08:00
    @emj365 这里说的block不是block攻击者的ip,而是停用被攻击的appleid。
    苹果有两步验证。
    POC很容易改造成实际可用的exploit,生成有针对的密码库,启用多线程,如果目标价值足够甚至可以做分布式。
    vose
        7
    vose  
       2014-09-03 08:28:49 +08:00
    抱歉,但确实不懂,两次import json 是什么意思呢?
    bullettrain1433
        8
    bullettrain1433  
    OP
       2014-09-03 09:42:10 +08:00
    @vose 哈哈,处女座吧。
    sobigfish
        9
    sobigfish  
       2014-09-03 09:46:21 +08:00
    #make it random!
    是说udid是random的?假UDID很好识别吧,如果Apple有特定的算法的话
    而且激活了find my iPhone 的设备udid也是有限的吧
    vose
        10
    vose  
       2014-09-03 11:00:07 +08:00
    @bullettrain1433 2333 别黑处女座啦,又折回头去看 那么再 urllib2 之前应该是 urllib 啊,对齐啊,对齐!
    Admstor
        11
    Admstor  
       2014-09-03 11:13:24 +08:00   ❤️ 1
    是苹果find my iphone的验证没有对尝试次数作出限制,导致了可以无限制的重复尝试才暴力破解的

    这个问题暴露了苹果的icloud还是不够安全,这种验证虽然不是直接漏洞,但是如此简单的一个限制都忘记了,简直匪夷所思
    另外这种暴力尝试会定然产生很异常的日志记录,说明也没有日志审查...
    shiny
        12
    shiny  
       2014-09-03 11:27:20 +08:00
    这只是一个 POC,真正拿来破密码还需要很多额外的代码要写。
    dong3580
        13
    dong3580  
       2014-09-03 11:28:44 +08:00
    @Yvette
    你试试水果的两步验证,很多地方都不需要验证。
    tiw
        14
    tiw  
       2014-09-03 15:04:31 +08:00
    20150517
        15
    20150517  
       2014-09-03 15:41:05 +08:00 via Android
    问题是苹果的密码有大小写,有数字,而且是必须的,这暴力破解有用?
    emj365
        16
    emj365  
       2014-09-03 18:47:29 +08:00
    @Yvette 谢谢提醒,我今天上去想要申请2f,结果要等3天。我觉得这个应该强制比较好,就像evernote那样。
    emj365
        17
    emj365  
       2014-09-03 18:51:18 +08:00
    @Admstor 原来如此啊,那就说得通了,暴力破解~
    Yvette
        18
    Yvette  
       2014-09-03 22:01:08 +08:00
    @dong3580 确实,我记得在新设备上登录iCloud服务应该是需要的,但是在浏览器里面不需要
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2767 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:50 · PVG 16:50 · LAX 00:50 · JFK 03:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.