看到 http://www.v2ex.com/t/139723 有人在讨论 iCloud 被中间人劫持。我也去验证了一下。
iCloud.com 有多个IP, https://23.48.140.239 和 https://23.13.186.46 这两个 iCloud 服务器上没有被替换证书。
但是直接访问 https://23.59.94.46/ ,在台湾没有被替换证书,换苏州联通的VPN后,证书被替换为自签名的证书。这况味着 iCloud 服务器在中国被人使用SSL中间人劫持,中国苹果用户隐私不保。若有人不幸运被DNS服务器返回这个icloud.com的IP地址,又忽略了网页上的安全警告的话,输入到icloud的用户名和密码都会被这个制造自签名证书的人拿到,他存储在icloud的私房照片、钥匙圈里的各种帐号密码都会被别人偷偷复制到。
以下是证据:
使用苏州的IP访问 直接访问 https://23.59.94.46/ 出现自行签名没有经过信任CA认证的安全证书:
这意味着用户访问到的icloud服务器不是真正的icloud服务器,存在帐号信息被第三方获取的风险。
使用台湾的IP 直接访问 https://23.59.94.46/ ,这个没有问题,得到的证书的指纹与真正的icloud.com 的证书的指纹一致:
而访问 https://23.48.140.239 这个 iCloud 服务器,无论是在台湾还是在苏州,得到的证书的指纹与真正的icloud.com 的证书的指纹是一致的:
https://23.13.186.46 的情况也和 而访问 https://23.48.140.239 一样,无论用不用中国IP,得到的证书的指纹与真正的icloud.com 的证书的指纹一致。
附iCloud.com 的真正的证书的指纹:
iCloud.com 使用akamai 提供的CDN服务,有多个IP, 目前至少发现了三个IP。
Evidence and Reproduce:
ake it. it is possible State sponsored attack and operate by China Unicom.
http://www.freebuf.com/news/47744.html
http://www.solidot.org/story?sid=41521
http://blog.zuola.com/2014/10/icloud-face-man-in-the-middle-attack-in-china.htm
http://mashable.com/2014/10/20/china-attacks-apple-microsoft/
http://it.people.com.cn/n/2014/1021/c1009-25874921.html
http://www.dw.de/a-18009603?maca=chi-rss-chi-all-1127-rdf
10月21日下午18点左右,我还为WSJ验证了这个攻击仍然存在,不过晚上10点我再为mashable验证时,攻击似乎暂时停止了,没有返回假的安全证书了。
10月22日:
自由亚洲:苹果可能已被中国骇客“偷咬一口”
http://www.rfa.org/mandarin/yataibaodao/meiti/cyl-10212014150319.html
华尔街日报:苹果中国内地iCloud服务受攻击
http://cn.wsj.com/gb/20141022/tec071917.asp
苹果关于中国的中间人攻击事件的官方声明:《Apple 有关 iCloud.com 安全的最新消息》 http://support.apple.com/kb/HT6550?viewlocale=zh_CN&locale=en_US
恶心的政府。
应该多一些这样的披露。