即使有 6位密碼和Touch ID指紋保護(hù)機(jī)制，iPhone 6S也可以解鎖。

1. 背景介紹

您的iPhone 6S已經(jīng)受到六位密碼的保護(hù)，同時亦設(shè)定了Touch ID指紋信息，這下可以高枕無憂了吧？錯！至少根據(jù)本周Morphus實驗室提供的分析結(jié)論，這樣的配置也仍然不夠安全。

某受害者的一臺iPhone 6S于三天之內(nèi)失竊。受害者告訴我們，就在手機(jī)被盜后不久，小偷即刻重置了其在線服務(wù)密碼（例如Apple ID），甚至與銀行方面聯(lián)系以嘗試接收銀行賬戶密碼。幸運的是，小偷并沒能進(jìn)一步竊取到受害者的財產(chǎn)。然而，這又帶來了新的問題——他們到底是怎樣對已鎖定的手機(jī)進(jìn)行Apple ID重置的？

為了更好地理解這種狀況，我們收集到了更多與受害者相關(guān)的信息：

a)這是否屬于一次針對性攻擊，就是說盜竊者是否蓄意竊取這部iPhone？盜竊者此前是否曾利用釣魚郵件或者類似的手段獲取受害者的登錄憑證？

恐怕不是。根據(jù)我們收集到的信息，這部iPhone在失竊之后，盜竊者從未與受害者進(jìn)行任何聯(lián)系。

b)受害者的ID或者其它文件信息是否亦被竊??？通過這種方式，盜竊者也許能夠掌握受害者的姓名或者郵箱地址。

沒有。沒有任何包含受害者姓名或者其它信息的ID或者文件遭到竊取。盜竊方想要的只是iPhone與銀行資產(chǎn)。

c)受害者用了多久才鎖定自己的iPhone與SIM卡？

在盜竊事件之后約兩個小時。

d) iPhone使用的密碼是否“易被猜到”？

這六位數(shù)字密碼并不易被猜到，其與受害者的車牌號碼或者個人信息無關(guān)。

因此，考慮到這樣神秘的狀況，我們決定深入了解情況，探尋受害者的iPhone到底是如何被解鎖的。

2. 時間表

下面我們將制定一份時間表，用以指明10月14號下午各項狀況所發(fā)生的時間節(jié)點：

a)14:00 –手機(jī)被盜;

b)16:03 – 受害者啟動了iPhone的丟失模式，并要求通過iCloud對其內(nèi)容進(jìn)行遠(yuǎn)程清除;

c)16:28 – 受害者的谷歌賬戶密碼被修改；

d)16:37 – 受害者收到一封郵件，其中包含一條用于重新設(shè)定Apple ID密碼的鏈接;

e)16:38 –又一封新郵件到來，提示受害者的Apple ID密碼已經(jīng)被成功修改;

f)16:43 – 一封新郵件提示受害者的iPhone已經(jīng)被定位;

g)16:43 –一封新郵件顯示受害者的iPhone內(nèi)容已經(jīng)被全部清除。

可以看到，受害者的谷歌與蘋果賬戶密碼都已經(jīng)被盜竊者所修改。然而如我們所知，不具備正確憑證的情況下，解鎖iPhone幾乎是項“不可能完成”的任務(wù)。那么，對方到底是怎么做到的？

根據(jù)在時間表上確定的事實，下面我們將嘗試解釋其中發(fā)生的具體狀況：

1)要變更谷歌賬戶密碼，大家需要至少具備登錄賬號，換句話來說，用戶的郵箱地址。那么盜竊者是怎樣發(fā)現(xiàn)郵箱地址的？

盡管最新iOS版本能夠在鎖屏狀態(tài)下的iPhone上顯示信息與通知，但經(jīng)過我們的測試，屏幕上的信息并不足以暴露用戶的Gmail地址;

2)是否有辦法從設(shè)備的IMEI當(dāng)中發(fā)現(xiàn)Apple ID？

通過網(wǎng)絡(luò)搜索，我們發(fā)現(xiàn)有多項付費服務(wù)能夠用于“根據(jù)特定IMEI發(fā)現(xiàn)對應(yīng)的Apple ID”。不過很明顯，這項工作的起效速度很慢。一般來講，獲取必要的信息往往需要24甚至48個小時。事實上，盜竊者僅用了約2個小時就得到了ID信息。

3)是否有辦法根據(jù)小偷所掌握的僅有信息，例如手機(jī)號碼，發(fā)現(xiàn)對應(yīng)的Gamil賬戶？

我們再次進(jìn)行了一番網(wǎng)絡(luò)搜索，并意識到谷歌方面提供了一種根據(jù)特定數(shù)據(jù)發(fā)現(xiàn)郵箱地址的辦法：用戶可以將手機(jī)號碼與賬戶以及姓名相關(guān)聯(lián)。由于在手機(jī)失竊的情況下，對方能夠輕松獲取手機(jī)號碼，因此掌握機(jī)主姓名就變得相當(dāng)輕松。這可能正是突破點所在……

3.假設(shè)情況模擬

因此，我們決定按照這種方式重現(xiàn)盜竊者發(fā)現(xiàn)受害者姓名的方式。這一次，我們購買了一臺與受害者機(jī)型與配置完全相同的iPhone 6S手機(jī)，專門用于此項研究。在這種情況下，我們的方案能夠盡可能接近實際情況，包括同樣使用谷歌與蘋果賬戶。

3.1. 發(fā)現(xiàn)手機(jī)號碼

為了獲取手機(jī)號碼，我們將SIM卡從iPhone中拔出并將其插入其它手機(jī)。與真實場景一樣，這時其PIN鎖不再存在。在另一手機(jī)上，我們得以輕松獲取到手機(jī)號碼。

3.2. 信息唾手可得？

現(xiàn)在，擁有了電話號碼，我們嘗試通過網(wǎng)絡(luò)搜索該號碼以獲取受害者姓名。遺憾的是，網(wǎng)上并沒什么有用的信息。接下來，我們嘗試在Facebook上搜索該電話號碼。如果大家將電話號碼與個人資料相關(guān)聯(lián)，那么能夠很輕松地借此發(fā)現(xiàn)對方姓名。然而，還是沒有任何發(fā)現(xiàn)。

3.3. 跳出思維僵局

看來并沒有什么“唾手可得”的輕松途徑，因此我們需要跳出思維僵局。誠然，我們可以通過多種方式利用電話號碼在網(wǎng)上獲取個人信息，但這里我們決定堅持使用最為有限的已知資料。

這時，我想到我自己最近剛剛更換了手機(jī)。在配置新手機(jī)時，而WhatsApp個人資料中包含大量照片——我并沒有通過備份進(jìn)行恢復(fù)。但我已經(jīng)不記得最終結(jié)果如何，因此我決定查看這條線能否用于獲取受害者姓名。

要實現(xiàn)這項目標(biāo)，我將SIM卡從鎖定狀態(tài)下的iPhone中拔出，并將其插入另一臺安裝有WhatsApp的手機(jī)。在經(jīng)過一系列初始配置，包括收取短信等，我們發(fā)現(xiàn)WhatsApp并不會在新機(jī)上加載個人資料信息。其僅僅同步了個人資料圖片與狀態(tài)。

然而WhatsApp這條線給了我們新的啟發(fā)。大家可能還記得，如果您身處某個WhatsApp群組并從某位非好友成員處收取到消息，那么其姓名前將顯示電話號碼（例如9999-9999 ～Mike Arnold）。因此，我們可以從鎖定狀態(tài)下的iPhone向某WhatsApp群組發(fā)送一條消息，從而獲得與個人資料相關(guān)的姓名信息。

3.4. (Whatsapp + 鎖屏通知機(jī)制) 破解成功

因此，我們首先確定該臺iPhone被設(shè)置為在接收到單一消息時，會在鎖屏狀態(tài)下給出通知。這條消息的內(nèi)容將得以正常顯示。下一步則是嘗試在鎖屏iPhone上回復(fù)該消息。利用“3D Touch”功能，我們得以成功回復(fù)了該消息。

初始驗證工作已經(jīng)就緒，下面需要嘗試使用群組消息方案了。我們創(chuàng)建了一個群組，其中包含與該鎖定iPhone手機(jī)號碼相關(guān)的聯(lián)系人。由于加入新群組并不需要驗證，因此我們得以輕松將該設(shè)備拉入群組并發(fā)出一條能夠顯示在觸屏iPhone中的消息，內(nèi)容為其已經(jīng)被添加至新群組當(dāng)中。

由于我們創(chuàng)建群組必須使用與鎖定iPhone號碼相關(guān)聯(lián)的聯(lián)系人，因此為了獲取其個人資料，我們需要在群組中引入第三位成員——其與鎖定iPhone號碼間不存在任何關(guān)聯(lián)。

一切設(shè)置就緒后，我們通過群組中的一位參與者發(fā)對方發(fā)送了一條消息。如預(yù)期一致，消息到達(dá)了鎖定iPhone的屏幕之上。我們通過鎖屏iPhone進(jìn)行應(yīng)答，且結(jié)果同樣與預(yù)期一致——相關(guān)消息的抬頭處顯示出與WhatsApp個人資料相關(guān)聯(lián)的名稱。至此，本階段完成。

下一步非常簡單，我們通過這種方式獲取到三項參數(shù)（手機(jī)號碼、姓與名），并借此提交谷歌表單以提取到了郵箱地址。本階段完成。

3.4.變更谷歌賬戶密碼

現(xiàn)在，讓我們嘗試像犯罪分子那樣變更受害者的賬戶密碼。接下來需要采取的步驟包括：

–進(jìn)入谷歌登錄界面;

–選擇“忘記密碼”選項;

–在“您還記得的上條密碼內(nèi)容”中輸入任意文本;

–在下一界面中，谷歌會詢問與該賬戶關(guān)聯(lián)的手機(jī)號碼。雖然其中只顯示部分電話號碼，但其最后兩位數(shù)字讓我們堅信已經(jīng)找到了正確的突破口;

–輸入鎖定iPhone的電話號碼，谷歌會向該iPhone發(fā)送一條短信驗證碼，用于在下一界面中進(jìn)行輸入驗證;

–在操作結(jié)束后，谷歌允許我們?yōu)樵撡~戶輸入一條新的密碼。

到這里，我們已經(jīng)完成了谷歌賬戶的密碼變更，整個過程應(yīng)該與犯罪分子的思路完全一致，而且執(zhí)行起來相當(dāng)輕松。根據(jù)設(shè)定，變更受害者的谷歌賬戶密碼只需要擁有其手機(jī)或者SIM卡，外加用戶的姓名——整個過程只需要數(shù)分鐘甚至是數(shù)秒鐘。

3.5.變更Apple ID密碼

到這里，我們將繼續(xù)按照事件時間表推進(jìn)。接下來，我們利用此前發(fā)現(xiàn)的谷歌郵箱地址作為Apple ID賬戶進(jìn)行登錄，而后再次選擇“忘記密碼”選項。在此之后，系統(tǒng)會顯示一條消息，通知我們其已經(jīng)向谷歌賬戶發(fā)送一封電子郵件，其中包含用于重置密碼的鏈接。接下來的工作非常輕松，總之我們很快成功更改了與該Apple ID相關(guān)聯(lián)的密碼內(nèi)容。

3.6. 解鎖這部“新”iPhone

由于基于真實場景下的案例，因此下面我們需要以模擬方式遠(yuǎn)程鎖定并對目標(biāo)iPhone設(shè)備進(jìn)行內(nèi)容清除。

我敢打賭，小偷肯定采取了同樣的步驟來解鎖這部iPhone。在清除流程完成后，iPhone會要求用戶輸入此前與之關(guān)聯(lián)的Apple ID與密碼。由于已經(jīng)掌握了這部分信息，因此我們能夠輕松從零開始訪問并配置這部“新”iPhone。

4.安全漏洞與相關(guān)建議

當(dāng)然，犯罪分子也許有著自己的一套策略，但其結(jié)果是完全一致的——一部iPhone，無需正確憑證即被順利解鎖。

然而，為了達(dá)成這樣的結(jié)果，我們應(yīng)當(dāng)制定一些假設(shè)以考慮未來的安全改進(jìn)方案：

a)鎖定狀態(tài)下的手機(jī)通知

允許在智能手機(jī)鎖屏狀態(tài)下進(jìn)行快捷回復(fù)確實非常方便，但這同時也會給用戶的隱私及安全造成巨大風(fēng)險。

正如整個實驗流程所顯示，這項功能使得我們可以讀取短信內(nèi)容以及WhatsApp消息，甚至在無需解鎖手機(jī)的前提下進(jìn)行消息回復(fù)。

我們強烈建議大家禁用“在鎖定手機(jī)上顯示通知”這一選項（對于用戶而言）。根據(jù)您實際移動平臺或者應(yīng)用的不同（例如Android或者iOS），其具體禁用配置方式也有所區(qū)別。

b)SIM卡是原罪

通過本次實驗，大家應(yīng)該已經(jīng)意識到保護(hù)自己的SIM手機(jī)卡有多么重要。我們一直在利用高強度密碼與指紋驗證乃至加密工具等保護(hù)智能手機(jī)本身，但卻忽視了對SIM卡的正確保護(hù)。

正如在實驗中所看到，在我們的這項研究當(dāng)中，短信已經(jīng)成為當(dāng)前交易驗證以及身份確認(rèn)服務(wù)中的重要載體。我們可以利用其接收谷歌解鎖驗證碼，甚至完成其它類型的支付交易。

有鑒于此，我們強烈建議大家為自己的SIM卡設(shè)置密碼保護(hù)機(jī)制（即PIN碼）。通過這種方式，您將能夠顯著降低身份偽造的風(fēng)險，特別是在手機(jī)丟失或者被盜的情況下。

取決于您所使用的具體智能手機(jī)類型，其實際配置方式也將有所區(qū)別。不過需要記住的是，在設(shè)置SIM卡PIN碼之后，大家必須在智能手機(jī)每次重啟后進(jìn)行手動輸入（其實并不是很麻煩）。

c)雙因素驗證機(jī)制

最后但同樣重要的是，請務(wù)必馬上在賬戶中啟用雙因素驗證機(jī)制！雙因素驗證機(jī)制意味著大家需要至少將兩種方式結(jié)合起來，從而向系統(tǒng)證明自己的真實身份。大家可以從以下三種選項當(dāng)中任選其二作為這兩項因素：

您所了解的信息，例如密碼;

您所掌握的事物，例如硬件或者軟件令牌; 以及您自身的某些特征，例如個人指紋。

時至今日，幾乎全部互聯(lián)網(wǎng)服務(wù)都會提供雙因素驗證的相關(guān)配置選項——通常是密碼加令牌的組合。當(dāng)然，也有不少選項將第二個因素設(shè)置為向用戶發(fā)送短信，但這種作法安全性不高。因此最好的辦法是利用應(yīng)用程序（例如谷歌Authenticator）生成對應(yīng)憑證。

這項策略將大大降低未經(jīng)授權(quán)人士訪問您賬戶的風(fēng)險。而且需要強調(diào)的是，如果這一手機(jī)失竊案中的受害者使用了雙因素身份驗證機(jī)制，那么對方根本無法利用短信更改其密碼。

5. 總結(jié)

考慮到手機(jī)失竊到賬戶丟失之間的相隔時間相當(dāng)短，我們認(rèn)為這種破解策略已經(jīng)被廣泛用于解鎖丟失或者被盜的手機(jī)設(shè)備。

除了iPhone丟失或者被盜引發(fā)的直接經(jīng)濟(jì)損失，此次案例還給我們帶來了新的重要啟示。我們是否應(yīng)當(dāng)嚴(yán)重保護(hù)自己的SIM卡與短信信息？在本文提到的場景下，不正確的信息訪問或者披露狀況很可能帶來更為嚴(yán)重的破壞性。未經(jīng)鎖定的SIM卡相當(dāng)于在您的手機(jī)當(dāng)中以明文方式保存重要密碼——這樣的作法顯然不夠明智，甚至可以說相當(dāng)愚蠢。

E安全注：本文系E安全編輯報道，轉(zhuǎn)載請聯(lián)系授權(quán)，并保留出處與鏈接，不得刪減內(nèi)容。聯(lián)系方式：① 微信號zhu-geliang ②郵箱eapp@ea