iCloud安全性分析与取证

苹果公司的操作系统一向以安全著称,MAC OSX系统漏洞和病毒很少(真的吗?),IOS系统更是非常安全(非越狱),无法安装没有通过苹果审核的app,但最近一段时间苹果安全性屡屡遭人质疑,比如好莱坞女星“艳照门”事件,XcodeGhost"感染门"事件,2015软件漏洞排行,那就来看看iCloud安全性到底如何。

据苹果公司所说“在iCloud中,用户存储的每个文件都被分割成若干块,并且使用AES-128加密算法进行加密;与此同时,源自每一个“块”中的密钥又使用SHA-256加密算法。这些密钥和文件的元数据存储在苹果的服务器上,而加密的文件块则剔除了用户的个人身份特征存储在像Amazon S3或者Windows Azure这样的第三方云服务上” ,如果真是这样,那服务器上存储的内容很安全,不安全因素主要在客户端这边。

一、安全性分析。

优点:

1、账户策略。

(1)账户锁定策略。

尝试登陆输入5次错误密码后会锁定帐号,需要重置密码。

屏幕快照 2016-01-04 上午10.44.41

(2)密码复杂度。

最低要求8位密码,需要数字、小写字母、大写字母。

 

2、提供两步验证。

如果仅仅使用默认的帐号密码登陆而没有设置其他安全措施的话,只要拿到帐号密码就能访问所有敏感信息(包括你的自拍和短信),社工库盛行的今天,非常之不安全啊。

屏幕快照 2016-01-04 上午9.55.53

还好,iCloud提供了两步验证功能,开启两步验证需要提供信任号码。

屏幕快照 2016-01-04 上午9.56.51

打开此功能后,安全性大大提高,使用帐号密码登陆后仅能使用“查找我的iPhone”功能,访问其他其他内容均需要使用信任号码或者信任设备进行二次验证,可以看到图标上都加上了小锁。

屏幕快照 2016-01-04 上午10.25.32

 

缺点:

1、无登陆记录。

最近一次登陆、登陆时间、登陆ip等等均无记录,更没有异常登陆提醒,这一点与Gmail相比简直弱爆了。

 

二、取证。

(一)拿到iCloud帐号密码。

直接登陆 https://www.icloud.com ,查看是否开启两步验证。

没开启两步验证:

方法1:直接打开查看,只能看,无法下载。

方法2:使用一台空iphone同步,然后备份。

方法3:使用 Elcomsoft Phone Breaker 输入iCloud帐号密码,下载敏感内容,系统备份也能下载。

开启了两步验证:

方法1:有他的信任设备或信任号码,直接获取验证码。

方法2:拿到他的电脑,转(二)

(二)拿到电脑。

方法1:使用 Elcomsoft Phone Breaker 获取Authentication tokens,不管有没用两步验证都能下载文件和备份。

方法2:查看cookies。

如果打开浏览器iCloud处于登陆状态(例如MAC系统未完全退出chrome),直接备份cookies,使用此cookies可以直接登陆一段时间(应该是三个月),而不需要iCloud帐号密码。如果cookies中含有X-APPLE-WEBAUTH-PCS-Mail这种项,就证明已经通过两步验证,使用此cookies登陆可以直接绕过两步验证。

icloudTrust

如果打开浏览器iCloud处于未登陆状态,那就看cookies中是否有 X-APPLE-WEBAUTH-HSA-TRUST-NYSNZW 这一栏,如果有,则利用此cookies可以绕过两步验证(需要iCloud帐号密码)访问敏感信息。因为登陆的时候会有是否“记住此浏览器”的选项,选中了信任然后登陆的话就会有X-APPLE-WEBAUTH-HSA-TRUST-NYSNZW。

屏幕快照 2016-01-04 上午11.03.06

 

因为iCloud不记录登陆信息,也没有任何提示(除非你手贱在验证身份时候去点下一步),所以各种方法都可以试试。