主页 > 网络 >

Zola Zhou:iCloud 服务器在中国被SSL中间人劫持,中国苹果用户

  Source

  看到 http://www.v2ex.com/t/139723 有人在讨论 iCloud 被中间人劫持。我也去验证了一下。

  联通对 iCloud 服务器进行 SSL 劫持?

  今天早上打开 凤凰彩票平台 www.icloud.com 报证书错误,稍微调查了一下:

  # captured packets ->https://www.cloudshark.org/captures/03a6b0593436

  bearice@Bearice-Mac-Air-Haswell ~

  %tcptraceroute 23.59.94.46 443 !26471 [9:23:19]

  Selected device en0, address 192.168.100.16, port 52406 for outgoing packets

  Tracing the path to 23.59.94.46 on TCP port 443 (https), 30 hops max

  1 192.168.100.254 1.737 ms 0.793 ms 0.798 ms

  2 111.192.144.1 2.893 ms 2.967 ms 2.422 ms

  3 61.51.246.25 2.913 ms 2.893 ms 3.968 ms

  4 124.65.61.157 4.824 ms 2.658 ms 3.902 ms

  5 202.96.12.9 3.626 ms 6.532 ms 3.794 ms

  6 219.158.96.54 27.539 ms 26.821 ms 27.661 ms

  7 a23-59-94-46.deploy.static.akamaitechnologies.com (23.59.94.46) [open] 30.064 ms 29.899 ms 30.126 ms

  bearice@Bearice-Mac-Air-Haswell 凤凰彩票官网 ~

  %tcptraceroute 23.59.94.46 80 !26472 [9:23:22]

  Selected device en0, address 192.168.100.16, port 52407 for outgoing packets

  Tracing the path to 23.59.94.46 on TCP port 80 (http), 30 hops max

  1 192.168.100.254 1.007 ms 0.782 ms 0.792 ms

  2 111.192.144.1 11.684 ms 2.335 ms 2.206 ms

  3 61.51.246.25 2.108 ms 2.753 ms 3.909 ms

  4 124.65.61.157 3.232 ms 2.760 ms 3.907 ms

  5 202.96.12.9 6.555 ms 6.157 ms 3.894 ms

  6 219.158.96.54 27.708 ms 26.837 ms 27.930 ms

  7 219.158.23.114 30.912 ms 30.619 ms 31.829 ms

  8 219.158.14.38 28.560 ms 26.441 ms 28.044 ms

  9 219.158.39.198 90.911 ms 111.305 ms 66.018 ms

  10 ae-1.r00.osakjp02.jp.bb.gin.ntt.net (129.250.2.253) 65.757 ms 66.048 ms 65.759 ms

  11 a2凤凰彩票网站3-59-94-46.deploy.static.akamaitechnologies.com (23.59.94.46) [open] 65.404 ms 65.355 ms 65.323 ms

  艹,影响范围似乎是全国,我在青岛和广西的节点上测试,也发现了同样的问题

  可以使用命令

  curl https://23.59.94.46 -vk -H’Host: www.icloud.com’ -I

  进行测试,如果结果里有

  * Server certificate:

  * subject: C=cn; O=www.icloud.com; CN=www.icloud.com

  * start date: 2014-10-04 10:35:47 GMT

  * expire date: 2015-10-04 10:35:47 GMT

  * issuer: C=cn; O=www.icloud.com; CN=www.icloud.com

  * SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.

  说明中招

  草 这样岂不是太恶心了 手机里的隐私联通岂不是直接拿去看了

  移动4G测试没问题 看来以后联通上网的时候要小心了

  主要还是钓浏览器,客户端不可能没有安全措施的。

  其实苹果应该不会被中间人攻击的……苹果与中国政府关系挺好的,现在比微软都强

  这种问题现在越来越多了…是不是以后国外网站必须得全局挂VPN或者代理呢

  深圳电信确认23.59.94.46被中间人

  $ mtr -T –port 443 -n 23.59.94.46

  My traceroute [v0.85]

  siyanmao-k29 (0.0.0.0) Sat Oct 18 19:26:07 2014

  Keys: Help Display mode Restart statistics Order of fields

  quit Packets Pings

  Host Loss% Snt Last Avg Best Wrst StDev

  1. 192.168.1.1 0.0% 17 0.6 0.7 0.6 0.8 0.0

  2. ———— 0.0% 16 2.8 2.6 1.7 3.3 0.3

  3. ————- 0.0% 16 2.0 2.2 1.4 4.0 0.4

  4. ?

  5. 119.145.47.78 0.0% 16 6.4 7.7 4.3 27.0 5.2

  183.56.65.54

  183.56.65.50

  119.145.47.74

  121.34.242.250

  121.34.242.138

  6. 23.59.94.46 25.0% 16 168.5 171.4 166.8 201.3 9.4

  iCloud.com 有多个IP, https://23.48.140.239 和 https://23.13.186.46 这两个 iCloud 服务器上没有被替换证书。

  但是直接访问 https://23.59.94.46/ ,在台湾没有被替换证书,换苏州联通的VPN后,证书被替换为自签名的证书。这况味着 iCloud 服务器在中国被人使用SSL中间人劫持,中国苹果用户隐私不保。若有人不幸运被DNS服务器返回这个icloud.com的IP地址,又忽略了网页上的安全警告的话,输入到icloud的用户名和密码都会被这个制造自签名证书的人拿到,他存储在icloud的私房照片、钥匙圈里的各种帐号密码都会被别人偷偷复制到。

  以下是证据:

  使用苏州的IP访问 直接访问 https://23.59.94.46/ 出现自行签名没有经过信任CA认证的安全证书:

  屏幕快照 2014-10-19 上午8.04.18屏幕快照 2014-10-19 上午8.04.18

  这意味着用户访问到的icloud服务器不是真正的icloud服务器,存在帐号信息被第三方获取的风险。

  使用台湾的IP 直接访问 https://23.59.94.46/ ,这个没有问题,得到的证书的指纹与真正的icloud.com 的证书的指纹一致:

  屏幕快照 2014-10-19 上午8.04.56屏幕快照 2014-10-19 上午8.04.56

  而访问 https://23.48.140.239 这个 iCloud 服务器,无论是在台湾还是在苏州,得到的证书的指纹与真正的icloud.com 的证书的指纹是一致的:

  屏幕快照 2014-10-19 上午8.09.17屏幕快照 2014-10-19 上午8.09.17

  屏幕快照 2014-10-19 上午8.09.43屏幕快照 2014-10-19 上午8.09.43

  https://23.13.186.46 的情况也和 而访问 https://23.48.140.239 一样,无论用不用中国IP,得到的证书的指纹与真正的icloud.com 的证书的指纹一致。

  屏幕快照 2014-10-19 上午8.33.53屏幕快照 2014-10-19 上午8.33.53

  屏幕快照 2014-10-19 上午8.34.17屏幕快照 2014-10-19 上午8.34.17

  附iCloud.com 的真正的证书的指纹:

  屏幕快照 2014-10-19 上午8.35.35屏幕快照 2014-10-19 上午8.35.35

  镜像链接:谷歌镜像 | 亚马逊镜像