你好,苹果手机被偷,开丢失模式以后报警,隔了一天小偷晚上开机有了定位以后,打电话报警,值班警察没有出警,说明天联系我,然后不了了之,当时电话说给我们立案了,其实耽误了我们两天的时间,并没有立案
咨询编号:|河南-郑州| 15:51|2 位律师回复
当小偷都在利用网络漏洞的时候,你还有什么理由不去关注信息安全?
本来不想写这个话题了,因为前前后后说了不少。但最近身边又有朋友遇到类似问题,如:“丢失模式”被强行取消、手机绑定的邮箱也莫名解绑等。难道苹果安全机制这么烂经不住国内小偷的研究了?所以乌云君小调查了下,有些发现值得警惕。
当小偷拿到手机后第一件事儿就是……关机,开个玩笑,因为 iPhone 官方防丢功能的存在,这种手机偷到手基本都是“丢失模式”被锁定无法激活,除非提供正确的 AppleID 账号与密码激活解除绑定。但手机显示其实是这样的(苹果不是吃素的),小偷根本就看不到账号。
所以第一件事儿是提取你手机绑定的 AppleID 邮箱、手机号码等信息。乌云君通过万能的 X 宝找到了很多查询服务。
“mz 查询”需要利用各种手机助手提取串号、序列号和设备标识等信息即可查询,这里怀疑是通过官方接口或者各种不正当收集 iOS 用户信息的工具 / 企业查询到的(记得好像央视曝光过类似问题)这种行为不违法,但也不合法,说不清的灰色地带…
“深度查询” 很有讲究,也是我们关心的重点,看图先
脑补店小二在招揽生意:QQ 邮箱密码解锁服务竟然只需 700 哦亲,良心哦亲~
但是为啥花钱就可以解开 QQ 邮箱的 AppleID?有漏洞?乌云君经过一些调查发现,原来小偷已经开始跟黑客组织联手,用国内常用的邮箱漏洞对用户账号进行定向攻击!而且黑客更会做生意,俺的漏洞不卖,只租!
QQ 邮箱理论 100%,实际 70%能搞定,网易 80%能搞定,这种吹牛违法广告法不?
意思就是提供提供一套成熟的技术服务,价格是网易、腾讯 XSS 均价 400 一个,每个漏洞包 4 天存活期,如果 4 天内被修复了还提供新漏洞。小偷只要批量提供“mz 查询”得到的用户 AppleID 邮箱账号,黑客靠 XSS 漏洞攻击用户邮箱,比如发这样的邮件,甚至打开邮件直接触发!
看下钓鱼网站后台对这类邮箱漏洞攻击的集成,太专业了!
还有更厉害的,直接加你 QQ 发带有 XSS 漏洞的链接
接着邮箱就收到这个了……
这里有个有意思的插曲,似乎有很多乌云白帽子发现了这个秘密,所以每当小偷更新腾讯邮箱 XSS 漏洞的时候大家会提交乌云,督促腾讯尽快修复漏洞。
通过 XSS 漏洞攻陷用户邮箱后,小偷立刻重置你 AppleID 账号密码,然后在手机上激活、解绑,一部偷来或捡来的 iPhone 就“洗白”了。败给这样的对手,你服不?
同理,用这些漏洞也能随便的进入你梦中女 / 男神、基友、领导、仇人、竞争对手的邮箱。但小偷不理解漏洞的影响,如此滥用会令大量邮箱 0day 漏洞流入互联网,对国内用户造成恐怖的影响。所以需要企业更迅速的应对,并从机制上主动对抗 XSS 带来的风险。你说你要修完所有的 XSS?呵呵……
最后小彩蛋,这个产业链里面还有个有趣的角色,就是负责用邮件狂刷你的邮箱
「国美」手机,低首付,手机轻松购!「国美」手机,分期买手机,购机更轻松!