TGFC Lifestyle - Powered by Discuz! Board

标题: 这次挂马事件需要改苹果账号的密码吗？ [打印本页]

作者: bigbigsmallstar 时间: 2015-9-19 07:49 标题: 这次挂马事件需要改苹果账号的密码吗？

posted by wap, platform: iPhone
如题，请科学分析一下，通讯录和iCloud帐号密码都失守了吗？

作者: 小文 时间: 2015-9-19 07:52

通讯录要看你是不是允许这个app访问你的通讯录，允许的话是有可能被上传的，但其实之前你允许了就会被上传到app开发者服务器，现在是被多上传到了第三方服务器。

iCloud账号密码我觉得言过其实了，普通app都获取不到的，加了一段上传到第三方服务器就能获取到了？

作者: craZyFeFe 时间: 2015-9-19 07:58

posted by wap, platform: iPhone
我想知道这事对普通只从appstore下载的用户什么影响？
有影响的话普通用户需要做什么？

作者: meltifa 时间: 2015-9-19 08:03

posted by wap, platform: iPad
改下密码能有多大成本，本来重要账号的密码就应该定期修改，尤其是绑定信用卡的帐号更应该开两步验证

作者: oversleep 时间: 2015-9-19 08:04

posted by wap, platform: iPhone

引用:

原帖由 @小文于 2015-9-19 07:52 发表
通讯录要看你是不是允许这个app访问你的通讯录，允许的话是有可能被上传的，但其实之前你允许了就会被上传到app开发者服务器，现在是被多上传到了第三方服务器。

iCloud账号密码我觉得言过其实了，普通app都获取不到的，加了一段上传到第三方服务器就能获取到了？

据说是弹假窗口骗取的

作者: 小文 时间: 2015-9-19 08:05

引用:

原帖由 craZyFeFe 于 2015-9-19 07:58 发表
posted by wap, platform: iPhone
我想知道这事对普通只从appstore下载的用户什么影响？
有影响的话普通用户需要做什么？

一些匿名信息被上传到了和app无关的网站，一些被用户允许访问的信息也可能被上传，比如微信，你的通讯录可能会被上传到腾讯以外的网站。

作者: 小文 时间: 2015-9-19 08:06

引用:

原帖由 oversleep 于 2015-9-19 08:04 发表
posted by wap, platform: iPhone
据说是弹假窗口骗取的

据哪里说的？我怎么没看到这样的新闻

作者: beterhans 时间: 2015-9-19 08:14

posted by wap, platform: iPhone
改了为妙

作者: 小文 时间: 2015-9-19 08:16

引用:

原帖由 beterhans 于 2015-9-19 08:14 发表
posted by wap, platform: iPhone
改了为妙

一劳永逸的办法还是两步验证，账号密码拿去也没用

作者: bigbigsmallstar 时间: 2015-9-19 08:18

posted by wap, platform: iPhone
苹果这个两步验证具体是什么方式？第二步是什么？

作者: mlong 时间: 2015-9-19 08:30

posted by wap, platform: VIVO Xplay
对哦，我也碰到过弹窗要求你输入apple id密码的事情。后面关闭icloud drive就没有了，但是这会受影响吗？

作者: shacg 时间: 2015-9-19 08:39

posted by wap, platform: 小米 NOTE

引用:

原帖由 @小文于 2015-9-19 07:52 发表
通讯录要看你是不是允许这个app访问你的通讯录，允许的话是有可能被上传的，但其实之前你允许了就会被上传到app开发者服务器，现在是被多上传到了第三方服务器。

iCloud账号密码我觉得言过其实了，普通app都获取不到的，加了一段上传到第三方服务器就能获取到了？

弹个假的要你输密码的窗，写点什么iCloud验证过期重新输入账号密码，于是就到手了

作者: jamesxuyiyi 时间: 2015-9-19 08:40

posted by wap, platform: iPhone
开两部验证，这样他也改不了你的号

作者: 小文 时间: 2015-9-19 08:43

引用:

原帖由 bigbigsmallstar 于 2015-9-19 08:18 发表
posted by wap, platform: iPhone
苹果这个两步验证具体是什么方式？第二步是什么？

输入密码以后会往另一个已授权设备发送验证码，输入这个验证码以后才能登陆

作者: wangmax 时间: 2015-9-19 08:44

api中找不到与icloud登录类有关的委托协议。
如果icloud登录类的协议声明中没有与账号密码有关的委托项，那么在实现类中无法实现与账号密码有关的方法。

作者: 小文 时间: 2015-9-19 08:45

引用:

原帖由 shacg 于 2015-9-19 08:39 发表
posted by wap, platform: 小米 NOTE
弹个假的要你输密码的窗，写点什么iCloud验证过期重新输入账号密码，于是就到手了

技术上是可行的，苹果审核难道不管这样明显的恶意代码？而且也没看到这样的案例

往第三方服务器发送数据是完全合理的，这个苹果确实审核不了。

作者: craZyFeFe 时间: 2015-9-19 08:49

posted by wap, platform: iPhone
那么现在漏洞堵上了吗？
如果没有堵上的话，我现在修改的意义何在？

作者: 小文 时间: 2015-9-19 08:50

引用:

原帖由 craZyFeFe 于 2015-9-19 08:49 发表
posted by wap, platform: iPhone
那么现在漏洞堵上了吗？
如果没有堵上的话，我现在修改的意义何在？

那个第三方服务器已经关闭了，理论上说中招的app无法再继续往那里发送数据。但之前发送的还是有可能已经泄漏，所以改密码还是有好处的。

作者: slowargo 时间: 2015-9-19 08:56

引用:

原帖由小文于 2015-9-19 08:06 发表

据哪里说的？我怎么没看到这样的新闻

http://www.ifanr.com/564386
实际危害在哪里？

一开始的时候，关注此事的 iOS 开发者表示这个事情的危害并不大，在隐私问题多多的现今，这种程度的泄露算不得什么。但是！在仔细查看研究之后，这些人收回了前面的言论。

四叶新媒体联合创始人，微博用户 Saic 称：

“拿文件看了一下，这个木马劫持了所有系统的弹窗（例如 IAP 支付），然后向目标服务器发送了加密数据，目前还不知怎么解密发出去的请求。”

比方说，在中毒的应用中进行一次 IAP（In-App Purchase，智能移动终端应用程序付费的模式）内购，比如网易云音乐中的 Taylor Swift 音乐包，此时输入的密码或者 Touch ID 后，就有加密数据发往目标服务器，现在不清楚加密信息是什么。因此，下载了中招应用的用户的密码都存在着泄露的危险。

所以，网易云音乐公告所说的“目前感染制作者的服务器已经关闭，不会再产生任何威胁”没有错，但是，之前已经有许多信息被发往了目标服务器了，网易等中招应用甩锅的话，不能无视这一致命的前提。

作者: 小文 时间: 2015-9-19 09:22

引用:

原帖由 slowargo 于 2015-9-19 08:56 发表

 http://www.ifanr.com/564386
实际危害在哪里？

一开始的时候，关注此事的 iOS 开发者表示这个事情的危害并不大，在隐私问题多多的现今，这种程度的泄露算不得什么。但是！在仔细查看研究之后，这些人收回了前 ...

嗯，那就是说虽然数据是被加密的，但也确实被发送了，存在送到服务器以后被解密的可能。

没开两步验证的，还是改密码吧

作者: wangmax 时间: 2015-9-19 09:32

引用:

原帖由 slowargo 于 2015-9-19 08:56 发表

 http://www.ifanr.com/564386
实际危害在哪里？

一开始的时候，关注此事的 iOS 开发者表示这个事情的危害并不大，在隐私问题多多的现今，这种程度的泄露算不得什么。但是！在仔细查看研究之后，这些人收回了前 ...

“这个木马劫持了所有系统的弹窗”

越扯越玄乎了，看其他地方的介绍，是给alertview、TextField添加Category而已，这个也只对自定义登陆类有效。

作者: zrmm 时间: 2015-9-19 16:34

f反正我昨天第一时间把两步验证开了

作者: weoful 时间: 2015-9-19 17:26

posted by wap, platform: iPhone
已改密码

作者: bigbigsmallstar 时间: 2015-9-19 17:32

posted by wap, platform: iPhone
已改密码，今晚开两步验证

作者: ninggu2008 时间: 2015-9-20 10:55

posted by wap, platform: Firefox
iCloud这个老是验证过期啥的要求重新输入密码的弹窗是很大隐患。正规窗口好像不需要输入ID，只需要输入密码。而假弹窗没法获取你的ID，所以ID密码都要输入，理论上警觉点的不会被骗。

作者: wpang 时间: 2015-9-20 10:57

posted by wap, platform: iPhone
看了一圈没改

作者: 恶灵古堡 时间: 2015-9-20 11:27

posted by wap, platform: iPhone
在哪里开两步验证啊？通过网页？

作者: beterhans 时间: 2015-9-20 13:25

posted by wap, platform: iPhone

引用:

原帖由 @小文于 2015-9-19 08:50 发表
那个第三方服务器已经关闭了，理论上说中招的app无法再继续往那里发送数据。但之前发送的还是有可能已经泄漏，所以改密码还是有好处的。

不要被骗了

服务器可以编变成被动接收状态
可以收但是不会发
你没法知道它是否存在

作者: naughtyben 时间: 2015-9-20 14:42

posted by wap, platform: iPhone
苹果必须死

作者: miomibuya 时间: 2015-9-20 16:12

posted by wap, platform: iPhone
icloud帐号 apple ID感觉没问题的

因为本来ipa这种app都没权限获取吧

唯一的机会有人提了利用虚假弹窗骗你输入帐号密码

不过弹窗太明显，app开发方的测试人员也会发现吧，更别说苹果审核了

作者: 测试一下 时间: 2015-9-20 16:52

posted by wap, platform: iPhone
我个人看法是普通用户有几个中等以上强度的密码和一两个简单公用密码即可...

不要矫枉过正...

普通用户过段时间就换密码其实是很搞笑的行为...

作者: 小文 时间: 2015-9-20 16:57

posted by wap, platform: Chrome
换密码是很正常的安全策略，重点是你怎么管理。有两步验证以后安全性是明显提高，别把鸡蛋放在一个篮子里总是没错的

欢迎光临 TGFC Lifestyle (http://tgfcer.com/)