灰产盗取 Apple ID “解ID锁”原理，及防护措施！

近期Apple ID被盗愈加猖獗，为什么？用一句非常经典的话来说：水可载舟亦可覆舟。

关于技术这方面也是亦可解锁Apple ID也可被盗窃分子利用。

为什么Apple ID被盗是最近才猖獗起来的？因为网易邮箱数据库被拖库造成5亿的用户数据被盗！5个亿是什么概念？我们中国人口按照14亿计算吧，除去不用智能手机的小孩子，老年人。超过60%有的吧。

这是一个很可怕的数据，结果网易邮箱团队还说这不是被拖库是撞库！太不负责任了，幸好我从来都不用网易的邮箱。

现在请允许我引入几个名词以便后面的描述：

内鬼：这里特指苹果公司的员工，他们手里有查询设备绑定的Apple ID邮箱地址的权限。他们常常是在苹果工作多年没有晋升的员工。还有一种情况是当时应聘苹果职位是就是为了这个权限而来，一到工作岗位就开工做内鬼。

XSS:跨站脚本攻击，再接下来的内容中会具体体现

案情回顾：

李先生的iPhone 在逛超市时不慎被小偷偷走，发现手机被偷，李先生立马锁定了自己的iPhone，并开启丢失模式。

正准备销赃的小偷这下子可就尴尬了，小偷想到：诶，我能不能叫人帮我解锁呢？

一不做二不休，在金钱的诱惑下，他通过某宝查询到这部手机绑定的邮箱了。这下子就部手机就危险了。我们假设这部手机绑定的邮箱时12345678@qq.com

怎么做？XSS演示开始

偷窃者加到了李先生的QQ并先他表明来意：我是隔壁的王先生，我捡到了你的手机，归还可以，但是我要确认一下这是不是你的手机，你看看我这个图片。于是小偷就给王先生发来一个链接。这就是XSS攻击的链接，只要你一点击进去，你的cookies就会被小偷接受到。但是李先生也只是一个普通人加上小偷的花言巧语就信以为真，点击了进去！请注意这里只要点击一下不用等待，只要点击！

这时候小偷来到管理后台一看，默默地笑了，因为他成功接收到了来自李先生的cookies

在后台有一条刚刚产生的记录，点击去看看有什么。

是的 这就是接收到的cookies，在看到小雷锋用红色框框出来的两个字符了吗？

一个skey 一个uin 这真是小偷最想要的东西！因为只要有了这两个值就可以登陆李先生的QQ邮箱！来看看效果：这是小雷锋的测试邮箱，只有一份邮件。

没错，我们可以利用skey和uin成功登陆邮箱，这是小偷在Apple ID官网选择忘记密码并且重置了密码，这个时间距离李先生点完链接不到2分钟的时间，他的Apple ID就不再属于她的了，李先生在客服的帮助下重置了密码再次进入查找我的iPhone一看，自己的iPhone竟然从Apple ID上注销了！

原因只有两个：李先生使用安全性最低的QQ邮箱来设置iCloud帐号并且点击了不明的XSS

链接，直接导致了他的iPhone与他离别。

案例再现：

林女士的iPhone也被小偷偷走，偷窃者故伎重演，通过内鬼查询到了林女士绑定了网易的邮箱。偷窃者想起来：今年三月网易邮箱不是被拖库了吗？说不定在数据库里可以查到密码毕竟那时5亿人的数据！

果然通过黑色产业链，偷窃者给了一个自称有网易5亿数据库的人一个红包，回报是一个经过加密的md5密码，在解密网站的帮忙下小偷拿到了密码明文，解锁了手机并且注销了ID。

从上面的两个案例不难看出个人与邮箱提供商都存在问题（特指QQ邮箱）我们应该如何去防范呢？

从个人角度来说：

1:不要用国内的主流邮箱来作为Apple ID邮箱，根据小雷锋到今天收集的消息来看，XSS的可攻击主要有以下几种：QQ 163 新浪 126 只要问有没有XSS如果是一般做黑产的就会告诉你我有QQ的XSS,少部分也有163 126 新浪 。但是QQ肯定是最危险的！！！

2:建议使用iCloud Gmail Photon这三个安全性比较高的邮箱。但是仍有被攻击的风险。并不是说我用了这三者其一就是百分百安全了。

3:绑定设备的邮箱最好就单独出来，就用来绑定设备其他的都不要干，别跟订阅 购物 等一些东西混在一起。

4:不要在设备上使用邮箱登录绑定设备的邮箱，小偷可以通过Wi-Fi钓鱼拿到明文密码。：（只要他技术够，不过以国内的小偷的水平来看…..大家懂得。

答疑：

A:那么我现在是QQ等一些国内邮箱想换成iCloud或者其他更安全的邮箱行不行？

Q:完全可以 请在 https://appleid.apple.com/cn 更改您的Apple ID帐号

A:更改完ID帐号，还跟QQ邮箱有更新吗？

Q:更改完了半毛钱关系都没有。

A:我在App Store买的软件还会在吗？

Q:这仅仅是更改帐号 不更改内容 说明白点：换汤不换药。

A:如果收到iPhone已找到邮件我要不要点？

Q:不要，有一种XSS是比较高级的XSS，你点击进去查看一下邮件，cookies就泄漏了！，最好的处理方法救赎不要处理，并与客服联系。更改一个你信地过的邮箱来接收设备信息。

说在文末：总结起来就说不要用国内的邮箱提供商XSS基本上都是做国内邮箱的，特别是当前非常时期的网易邮箱！！！必须更改。还有就是QQ邮箱，也强烈建议更改。

根据客服那边的消息100个ID锁被锁95个是网页请大家自己脑补。

不要去点击iPhone已找到的邮件 不要轻信不明的QQ链接 就像案例一的李先生一样。

如果是国内邮箱提供商请及时更换邮箱 https://appleid.apple.com/cn

更换我们的邮箱，让黑产死一笔是一笔。