Total Pageviews

Saturday 18 October 2014

iCloud 服务器在中国被SSL中间人劫持,中国苹果用户隐私不保

看到 http://www.v2ex.com/t/139723 有人在讨论 iCloud 被中间人劫持。我也去验证了一下。

iCloud.com 有多个IP, https://23.48.140.239 和 https://23.13.186.46 这两个 iCloud 服务器上没有被替换证书。

但是直接访问 https://23.59.94.46/ ,在台湾没有被替换证书,换苏州联通的VPN后,证书被替换为自签名的证书。这况味着 iCloud 服务器在中国被人使用SSL中间人劫持, 中国苹果用户隐私不保若有人不幸运被DNS服务器返回这个icloud.com的IP地址,又忽略了网页上的安全警告的话,输入到icloud的用户名 和密码都会被这个制造自签名证书的人拿到,他存储在icloud的私房照片、钥匙圈里的各种帐号密码都会被别人偷偷复制到。

以下是证据:
使用苏州的IP访问 直接访问 https://23.59.94.46/  出现自行签名没有经过CA认证的安全证书


这意味着用户访问到的icloud服务器不是真正的icloud服务器,存在帐号信息被第三方获取的风险。

使用台湾的IP 直接访问 https://23.59.94.46/ ,这个没有问题,得到的证书的指纹与真正的icloud.com 的证书的指纹一致:
 

而访问 https://23.48.140.239 这个 iCloud 服务器,无论是在台湾还是在苏州,得到的证书的指纹与真正的icloud.com 的证书的指纹是一致的:




https://23.13.186.46 的情况也和 而访问 https://23.48.140.239 一样,无论用不用中国IP,得到的证书的指纹与真正的icloud.com 的证书的指纹一致。


附iCloud.com 的真正的证书的指纹:

from http://www.zhoushuguang.com/2014/10/icloud-ssl-attack.html
------------------------
可以使用命令
curl https://23.59.94.46 -vk -H'Host: www.icloud.com' -I
进行测试,如果结果里有
* Server certificate:
* subject: C=cn; O=www.icloud.com; CN=www.icloud.com
* start date: 2014-10-04 10:35:47 GMT
* expire date: 2015-10-04 10:35:47 GMT
* issuer: C=cn; O=www.icloud.com; CN=www.icloud.com
* SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
说明中招.
      
    13
bearice   21 小时 14 分钟前
@virusdefender 因为你DNS解析出来的不一定是这个地址啊
      
    14
yfdyh000   20 小时 50 分钟前
直接访问 https://23.59.94.46/ 查看证书是否自签名就知道了。北京联通重现。

不过,根据 http://alibench.com/rp/f5ea0ba25cbe95600d7cfb57aa4d47f2 测试,好像只有:
广东 中山 电信 0ms 23.59.94.46 [ 美国 ] 这一处的DNS会返回这个IP,其他98个都不是。
      
    15
wyf88   16 小时 36 分钟前
这种问题现在越来越多了...是不是以后国外网站必须得全局挂VPN或者代理呢
      
    16
siyanmao   15 小时 0 分钟前
深圳电信确认23.59.94.46被中间人:
$ mtr -T --port 443 -n 23.59.94.46
My traceroute [v0.85]
siyanmao-k29 (0.0.0.0) Sat Oct 18 19:26:07 2014
Keys: Help Display mode Restart statistics Order of fields
quit Packets Pings
Host Loss% Snt Last Avg Best Wrst StDev
1. 192.168.1.1 0.0% 17 0.6 0.7 0.6 0.8 0.0
2. ------------ 0.0% 16 2.8 2.6 1.7 3.3 0.3
3. ------------- 0.0% 16 2.0 2.2 1.4 4.0 0.4
4. ???
5. 119.145.47.78 0.0% 16 6.4 7.7 4.3 27.0 5.2
183.56.65.54
183.56.65.50
119.145.47.74
121.34.242.250
121.34.242.138
6. 23.59.94.46 25.0% 16 168.5 171.4 166.8 201.3 9.4
      
    17
zola   1 小时 26 分钟前
iCloud.com 的 https://23.48.140.239 和 https://23.13.186.46 这两个 iCloud 服务器上没有被替换证书。
但是直接访问 https://23.59.94.46/ ,在台湾没有被替换证书,换苏州联通的VPN后,证书被替换为自签名的证书。这况味着 iCloud 服务器在中国被人使用SSL中间人劫持,中国苹果用户隐私不保呀.

from  http://www.v2ex.com/t/139723
Posted by at
Labels: ,