2014年10月19日星期日

iCloud 服务器在中国被SSL中间人劫持,中国苹果用户隐私不保

看到 http://www.v2ex.com/t/139723 有人在讨论 iCloud 被中间人劫持。我也去验证了一下。

iCloud.com 有多个IP, https://23.48.140.239 和 https://23.13.186.46 这两个 iCloud 服务器上没有被替换证书。

但是直接访问 https://23.59.94.46/ ,在台湾没有被替换证书,换苏州联通的VPN后,证书被替换为自签名的证书。这况味着 iCloud 服务器在中国被人使用SSL中间人劫持,中国苹果用户隐私不保。若有人不幸运被DNS服务器返回这个icloud.com的IP地址,又忽略了网页上的安全警告的话,输入到icloud的用户名和密码都会被这个制造自签名证书的人拿到,他存储在icloud的私房照片、钥匙圈里的各种帐号密码都会被别人偷偷复制到。

以下是证据:
使用苏州的IP访问 直接访问 https://23.59.94.46/  出现自行签名没有经过信任CA认证的安全证书:


这意味着用户访问到的icloud服务器不是真正的icloud服务器,存在帐号信息被第三方获取的风险。


使用台湾的IP 直接访问 https://23.59.94.46/ ,这个没有问题,得到的证书的指纹与真正的icloud.com 的证书的指纹一致:

 

而访问 https://23.48.140.239 这个 iCloud 服务器,无论是在台湾还是在苏州,得到的证书的指纹与真正的icloud.com 的证书的指纹是一致的:





https://23.13.186.46 的情况也和 而访问 https://23.48.140.239 一样,无论用不用中国IP,得到的证书的指纹与真正的icloud.com 的证书的指纹一致。



附iCloud.com 的真正的证书的指纹:


iCloud.com 使用akamai 提供的CDN服务,有多个IP, 目前至少发现了三个IP。

https://23.48.140.239https://23.13.186.46 这两个 iCloud 服务器上没有被替换证书。 但是直接访问 https://23.59.94.46/ ,在台湾直接访问没有被替换证书,换苏州联通的VPN后,证书被替换为自签名的证书。并得到多位网友的证实(12)。这意味着 iCloud 服务器在中国被人使用SSL中间人劫持,中国苹果用户隐私不保。若有人不幸运被DNS服务器返回23.59.94.46这个icloud.com的IP地址,又忽略了网页上的安全警告的话,输入到icloud的用户名和密码都会被这个制造自签名证书的人拿到,他存储在icloud的私房照片、钥匙圈里的各种帐号密码都会被别人偷偷复制到。用阿里测的DNS解析工具检测可知,至少广东、黑龙江、吉林等地的 icloud用户会被返回23.59.94.46这个IP地址,亦极可能影响使用icloud帐号。目前还没有看到任何组织声称对此黑客行为负责。


Chinese attacker is running a Man-in-the-middle attack on SSL encrypted traffic between iCloud server and China Unicom users. The ISP (probably asked by the government to do so) replaced the certificate of iCloud with a self-issued one. The government conducted similar attacks against GitHubGoogleWindows Live and Yahoo.

Evidence and Reproduce:

iCloud.com using CDN provide by akamai.com ,they have a lot of DNS result when you access iCloud.com, such as:  23.48.140.239 , 23.13.186.46 , 23.59.94.46
When you access those IP via SSL like https://23.59.94.46/ , it will popup the SSL warning and you can check the certificate issued by trust certificate authority, but did not match the domain because we are using IP directly. end user get above DNS records randomly when access iCloud.com.
we are confirm that https://23.59.94.46/ face man-in-the-middle attack in China, when people who live in China mainland access https://23.59.94.46/ , it will popup the SSL warning, but the certificate not issued by trust certificate authority, it is self-issued. it means China ISP can steal anyone iCloud user’s information when they using DNS Pollution(DNS spoofing)  and Man-in-the-middle attack both. now we don’t know the attacker using anycast technology to fake response from 23.59.94.46/ or just insert content between end user and real 23.59.94.46 , it seems not personal resource can m
ake it. it is possible State sponsored attack and operate by China Unicom.
这两天许多媒体跟进报道了:

http://www.freebuf.com/news/47744.html
http://www.solidot.org/story?sid=41521
http://blog.zuola.com/2014/10/icloud-face-man-in-the-middle-attack-in-china.htm

http://mashable.com/2014/10/20/china-attacks-apple-microsoft/
http://it.people.com.cn/n/2014/1021/c1009-25874921.html
http://www.dw.de/a-18009603?maca=chi-rss-chi-all-1127-rdf

10月21日下午18点左右,我还为WSJ验证了这个攻击仍然存在,不过晚上10点我再为mashable验证时,攻击似乎暂时停止了,没有返回假的安全证书了。

10月22日:

自由亚洲:苹果可能已被中国骇客“偷咬一口”
http://www.rfa.org/mandarin/yataibaodao/meiti/cyl-10212014150319.html
华尔街日报:苹果中国内地iCloud服务受攻击
http://cn.wsj.com/gb/20141022/tec071917.asp

苹果关于中国的中间人攻击事件的官方声明:《Apple 有关 iCloud.com 安全的最新消息》 http://support.apple.com/kb/HT6550?viewlocale=zh_CN&locale=en_US

写篇文章不容易,既然来都来了,请留言一下吧

现在已经有 2 条评论 :