当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2014-072970
漏洞标题:
Apple ID可轻易撞库盗号
相关厂商:
苹果公司Apple Inc
漏洞作者:
lijiejie
提交时间:
2014-08-18 22:45
修复时间:
2014-10-02 22:46
公开时间:
2014-10-02 22:46
漏洞类型:
设计缺陷/逻辑错误
危害等级:
自评Rank:
8
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2014-08-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-10-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

Apple ID可轻易撞号。

详细说明:

实际是通过icloud撞号。
测试发现无论错误多少次,https://appleid.apple.com/signin并没有出现验证码,也没有传说中的临时锁定我的账号?
而在https://www.icloud.com/上,也是如此。
我只启用了一个线程(怕后端监测到异常)。
轻松批量撞号,不断有新的破解成功提示出现。 当然,登录时一部分会因为安全原因被禁用,要求必须重设密码。

漏洞证明:

登录的时候可能提示有风险(或弱密码),强制修改密码。
修改之后就可以进去了。

apple-update-pass.png


apple-id-updated.png


登录iCloud可查看对方联系人、邮箱,甚至尝试通过“Find My iPhone”定位。

icloud.png


附上部分测试成功的账号:

hu-go@126.com    luoyuanhao
xjk1987@163.com    032850240 (被我临时重置为了Wooyun123)
hxlsh04@126.com    17504178
luanlingyouwu@163.com    youyou520
jackyhcb@126.com    j123456
syfzzhengpeng@163.com    4725222
Hamun@163.com    hanxu520
song-xiong@163.com    1234SXdd
wyc66616@163.com    830929
13846213234@163.com    zw820418
qidanmail@163.com    0909198250
liqiang0716haha@163.com    535772
lu003@163.com    33488988
scyangjie@163.com    970970925
kevinxu.wohu@126.com    fumo1115jj
jackey.net@163.com    andre0
jaylee3@163.com    918118
xuy1230@163.com    731124
cat0216@163.com    19860216
wtl890519@163.com    8641344
justdooit@163.com    123456
song.feel@163.com    321322sf
uduoy@126.com    yy1022
tuoyi168@163.com    ty126800
frlfsnet@163.com    fr630728
momo_0003@163.com    200184
manylong@163.com    820610
auciferlee@163.com    jackylee
leajang@126.com    48523161
mouren1981@126.com    123456
qq199935@163.com    139456
yizhouxinge@126.com    afsni43y5
heyumiao1988@163.com    88921253
zhou51comcn@163.com    89067000
zouhao1983@163.com    19831107
zzl353514809@163.com    zzl2wl1314
suquh@163.com    sqh5587530
wenzi0.0@163.com    asd3950233
dellety@163.com    ilovev
dheroin@163.com    20020633
asjkhl@126.com    1989612
deo0330@163.com    112233
shentao0101@163.com    887888
lyf01441@163.com    0144124
ericchen1106@163.com    chentao1106
wangtong0118@163.com    nihao2010
koko@163.com    hehehe
lmzaina@163.com    lm8939136
sprite_twm@126.com    801225
kenon1982@163.com    1399424
hysyf@126.com    1989123
weaki@126.com    fosa340s8
amtshao@163.com    shaoxiao
yy@163.com    ywwwww
huqijun@163.com    qlzqlzqlz
jianfeng138@126.com    460103296
geniuswudy@126.com    nash1313
kaka@163.com    hehehe
hohu123@163.com    liyue123
ahfyzhg@163.com    ahfyzhg
l--man@163.com    198452

修复方案:

版权声明:转载请注明来源 lijiejie@乌云

>

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝