即使拥有六位密码外加Touch ID指纹保护机制,您的iPhone 6S仍然有可能被解锁。
1. 背景介绍
您的iPhone 6S已经受到六位密码的保护,同时亦设定了Touch ID指纹信息,这下可以高枕无忧了吧?错!至少根据本周Morphus实验室提供的分析结论,这样的配置也仍然不够安全。
某受害者的一台iPhone 6S于三天之内失窃。受害者告诉我们,就在手机被盗后不久,小偷即刻重置了其在线服务密码(例如Apple ID),甚至与银行方面联系以尝试接收银行账户密码。幸运的是,小偷并没能进一步窃取到受害者的财产。然而,这又带来了新的问题——他们到底是怎样对已锁定的手机进行Apple ID重置的?
为了更好地理解这种状况,我们收集到了更多与受害者相关的信息:
a)这是否属于一次针对性攻击,就是说盗窃者是否蓄意窃取这部iPhone?盗窃者此前是否曾利用钓鱼邮件或者类似的手段获取受害者的登录凭证?
恐怕不是。根据我们收集到的信息,这部iPhone在失窃之后,盗窃者从未与受害者进行任何联系。
b)受害者的ID或者其它文件信息是否亦被窃取?通过这种方式,盗窃者也许能够掌握受害者的姓名或者邮箱地址。
没有。没有任何包含受害者姓名或者其它信息的ID或者文件遭到窃取。盗窃方想要的只是iPhone与银行资产。
c)受害者用了多久才锁定自己的iPhone与SIM卡?
在盗窃事件之后约两个小时。
d) iPhone使用的密码是否“易被猜到”?
这六位数字密码并不易被猜到,其与受害者的车牌号码或者个人信息无关。
因此,考虑到这样神秘的状况,我们决定深入了解情况,探寻受害者的iPhone到底是如何被解锁的。
2. 时间表
下面我们将制定一份时间表,用以指明10月14号下午各项状况所发生的时间节点:
a)14:00 –手机被盗;
b)16:03 – 受害者启动了iPhone的丢失模式,并要求通过iCloud对其内容进行远程清除;
c)16:28 – 受害者的谷歌账户密码被修改;
d)16:37 – 受害者收到一封邮件,其中包含一条用于重新设定Apple ID密码的链接;
e)16:38 –又一封新邮件到来,提示受害者的Apple ID密码已经被成功修改;
f)16:43 – 一封新邮件提示受害者的iPhone已经被定位;
g)16:43 –一封新邮件显示受害者的iPhone内容已经被全部清除。
可以看到,受害者的谷歌与苹果账户密码都已经被盗窃者所修改。然而如我们所知,不具备正确凭证的情况下,解锁iPhone几乎是项“不可能完成”的任务。那么,对方到底是怎么做到的?
根据在时间表上确定的事实,下面我们将尝试解释其中发生的具体状况:
1)要变更谷歌账户密码,大家需要至少具备登录账号,换句话来说,用户的邮箱地址。那么盗窃者是怎样发现邮箱地址的?
尽管最新iOS版本能够在锁屏状态下的iPhone上显示信息与通知,但经过我们的测试,屏幕上的信息并不足以暴露用户的Gmail地址;
2)是否有办法从设备的IMEI当中发现Apple ID?
通过网络搜索,我们发现有多项付费服务能够用于“根据特定IMEI发现对应的Apple ID”。不过很明显,这项工作的起效速度很慢。一般来讲,获取必要的信息往往需要24甚至48个小时。事实上,盗窃者仅用了约2个小时就得到了ID信息。
3)是否有办法根据小偷所掌握的仅有信息,例如手机号码,发现对应的Gamil账户?
我们再次进行了一番网络搜索,并意识到谷歌方面提供了一种根据特定数据发现邮箱地址的办法:用户可以将手机号码与账户以及姓名相关联。由于在手机失窃的情况下,对方能够轻松获取手机号码,因此掌握机主姓名就变得相当轻松。这可能正是突破点所在……
3.假设情况模拟
因此,我们决定按照这种方式重现盗窃者发现受害者姓名的方式。这一次,我们购买了一台与受害者机型与配置完全相同的iPhone 6S手机,专门用于此项研究。在这种情况下,我们的方案能够尽可能接近实际情况,包括同样使用谷歌与苹果账户。
3.1. 发现手机号码
为了获取手机号码,我们将SIM卡从iPhone中拔出并将其插入其它手机。与真实场景一样,这时其PIN锁不再存在。在另一手机上,我们得以轻松获取到手机号码。
3.2. 信息唾手可得?
现在,拥有了电话号码,我们尝试通过网络搜索该号码以获取受害者姓名。遗憾的是,网上并没什么有用的信息。接下来,我们尝试在Facebook上搜索该电话号码。如果大家将电话号码与个人资料相关联,那么能够很轻松地借此发现对方姓名。然而,还是没有任何发现。
3.3. 跳出思维僵局
看来并没有什么“唾手可得”的轻松途径,因此我们需要跳出思维僵局。诚然,我们可以通过多种方式利用电话号码在网上获取个人信息,但这里我们决定坚持使用最为有限的已知资料。
这时,我想到我自己最近刚刚更换了手机。在配置新手机时,而WhatsApp个人资料中包含大量照片——我并没有通过备份进行恢复。但我已经不记得最终结果如何,因此我决定查看这条线能否用于获取受害者姓名。
要实现这项目标,我将SIM卡从锁定状态下的iPhone中拔出,并将其插入另一台安装有WhatsApp的手机。在经过一系列初始配置,包括收取短信等,我们发现WhatsApp并不会在新机上加载个人资料信息。其仅仅同步了个人资料图片与状态。
然而WhatsApp这条线给了我们新的启发。大家可能还记得,如果您身处某个WhatsApp群组并从某位非好友成员处收取到消息,那么其姓名前将显示电话号码(例如9999-9999 ~Mike Arnold)。因此,我们可以从锁定状态下的iPhone向某WhatsApp群组发送一条消息,从而获得与个人资料相关的姓名信息。
3.4. (Whatsapp + 锁屏通知机制) 破解成功
因此,我们首先确定该台iPhone被设置为在接收到单一消息时,会在锁屏状态下给出通知。这条消息的内容将得以正常显示。下一步则是尝试在锁屏iPhone上回复该消息。利用“3D Touch”功能,我们得以成功回复了该消息。
初始验证工作已经就绪,下面需要尝试使用群组消息方案了。我们创建了一个群组,其中包含与该锁定iPhone手机号码相关的联系人。由于加入新群组并不需要验证,因此我们得以轻松将该设备拉入群组并发出一条能够显示在触屏iPhone中的消息,内容为其已经被添加至新群组当中。
由于我们创建群组必须使用与锁定iPhone号码相关联的联系人,因此为了获取其个人资料,我们需要在群组中引入第三位成员——其与锁定iPhone号码间不存在任何关联。
一切设置就绪后,我们通过群组中的一位参与者发对方发送了一条消息。如预期一致,消息到达了锁定iPhone的屏幕之上。我们通过锁屏iPhone进行应答,且结果同样与预期一致——相关消息的抬头处显示出与WhatsApp个人资料相关联的名称。至此,本阶段完成。
下一步非常简单,我们通过这种方式获取到三项参数(手机号码、姓与名),并借此提交谷歌表单以提取到了邮箱地址。本阶段完成。
3.4.变更谷歌账户密码
现在,让我们尝试像犯罪分子那样变更受害者的账户密码。接下来需要采取的步骤包括:
–进入谷歌登录界面;
–选择“忘记密码”选项;
–在“您还记得的上条密码内容”中输入任意文本;
–在下一界面中,谷歌会询问与该账户关联的手机号码。虽然其中只显示部分电话号码,但其最后两位数字让我们坚信已经找到了正确的突破口;
–输入锁定iPhone的电话号码,谷歌会向该iPhone发送一条短信验证码,用于在下一界面中进行输入验证;
–在操作结束后,谷歌允许我们为该账户输入一条新的密码。
到这里,我们已经完成了谷歌账户的密码变更,整个过程应该与犯罪分子的思路完全一致,而且执行起来相当轻松。根据设定,变更受害者的谷歌账户密码只需要拥有其手机或者SIM卡,外加用户的姓名——整个过程只需要数分钟甚至是数秒钟。
3.5.变更Apple ID密码
到这里,我们将继续按照事件时间表推进。接下来,我们利用此前发现的谷歌邮箱地址作为Apple ID账户进行登录,而后再次选择“忘记密码”选项。在此之后,系统会显示一条消息,通知我们其已经向谷歌账户发送一封电子邮件,其中包含用于重置密码的链接。接下来的工作非常轻松,总之我们很快成功更改了与该Apple ID相关联的密码内容。
3.6. 解锁这部“新”iPhone
由于基于真实场景下的案例,因此下面我们需要以模拟方式远程锁定并对目标iPhone设备进行内容清除。
我敢打赌,小偷肯定采取了同样的步骤来解锁这部iPhone。在清除流程完成后,iPhone会要求用户输入此前与之关联的Apple ID与密码。由于已经掌握了这部分信息,因此我们能够轻松从零开始访问并配置这部“新”iPhone。
4.安全漏洞与相关建议
当然,犯罪分子也许有着自己的一套策略,但其结果是完全一致的——一部iPhone,无需正确凭证即被顺利解锁。
然而,为了达成这样的结果,我们应当制定一些假设以考虑未来的安全改进方案:
a)锁定状态下的手机通知
允许在智能手机锁屏状态下进行快捷回复确实非常方便,但这同时也会给用户的隐私及安全造成巨大风险。
正如整个实验流程所显示,这项功能使得我们可以读取短信内容以及WhatsApp消息,甚至在无需解锁手机的前提下进行消息回复。
我们强烈建议大家禁用“在锁定手机上显示通知”这一选项(对于用户而言)。根据您实际移动平台或者应用的不同(例如Android或者iOS),其具体禁用配置方式也有所区别。
b)SIM卡是原罪
通过本次实验,大家应该已经意识到保护自己的SIM手机卡有多么重要。我们一直在利用高强度密码与指纹验证乃至加密工具等保护智能手机本身,但却忽视了对SIM卡的正确保护。
正如在实验中所看到,在我们的这项研究当中,短信已经成为当前交易验证以及身份确认服务中的重要载体。我们可以利用其接收谷歌解锁验证码,甚至完成其它类型的支付交易。
有鉴于此,我们强烈建议大家为自己的SIM卡设置密码保护机制(即PIN码)。通过这种方式,您将能够显著降低身份伪造的风险,特别是在手机丢失或者被盗的情况下。
取决于您所使用的具体智能手机类型,其实际配置方式也将有所区别。不过需要记住的是,在设置SIM卡PIN码之后,大家必须在智能手机每次重启后进行手动输入(其实并不是很麻烦)。
c)双因素验证机制
最后但同样重要的是,请务必马上在账户中启用双因素验证机制!双因素验证机制意味着大家需要至少将两种方式结合起来,从而向系统证明自己的真实身份。大家可以从以下三种选项当中任选其二作为这两项因素:
您所了解的信息,例如密码;
您所掌握的事物,例如硬件或者软件令牌; 以及您自身的某些特征,例如个人指纹。
时至今日,几乎全部互联网服务都会提供双因素验证的相关配置选项——通常是密码加令牌的组合。当然,也有不少选项将第二个因素设置为向用户发送短信,但这种作法安全性不高。因此最好的办法是利用应用程序(例如谷歌Authenticator)生成对应凭证。
这项策略将大大降低未经授权人士访问您账户的风险。而且需要强调的是,如果这一手机失窃案中的受害者使用了双因素身份验证机制,那么对方根本无法利用短信更改其密码。
5. 总结
考虑到手机失窃到账户丢失之间的相隔时间相当短,我们认为这种破解策略已经被广泛用于解锁丢失或者被盗的手机设备。
除了iPhone丢失或者被盗引发的直接经济损失,此次案例还给我们带来了新的重要启示。我们是否应当严重保护自己的SIM卡与短信信息?在本文提到的场景下,不正确的信息访问或者披露状况很可能带来更为严重的破坏性。未经锁定的SIM卡相当于在您的手机当中以明文方式保存重要密码——这样的作法显然不够明智,甚至可以说相当愚蠢。
E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@ea