V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bethebetter
V2EX  ›  Apple

苹果用 http OCSP 协议校验每个程序的 HASH 这个没得洗

  •  
  •   bethebetter · 2020-11-15 09:58:27 +08:00 · 14672 次点击
    这是一个创建于 1475 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://apple.slashdot.org/story/20/11/13/1726224/your-computer-isnt-yours

    These OCSP requests are transmitted unencrypted.

    https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

    OCSP 一般浏览器用来校验 CA 根证书状态,根 CA 可以签发多个不同的网站,并不是把你访问网站的域名发过去校验

    但是$Apple OCSP$这个东西就厉害了,他是校验你程序的 HASH,你运行任何程序都会发给他,我们苹果太厉害啦!

    第 1 条附言  ·  2020-11-15 11:04:46 +08:00
    https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol#Basic_PKI_implementation

    Basic PKI implementation 这个实现确实是校验的是 End Entity 而不是 CA
    112 条回复    2020-11-17 23:47:57 +08:00
    1  2  
    ryanlid
        101
    ryanlid  
       2020-11-16 10:00:21 +08:00
    泄露的东西多了去了,在 https 中,主机名部分,是没有加密的,经过的网络设备都是可以知道你访问某个域名的哦,还有目标主机的 IP 地址哦,收集起来也是可以分析。
    sockpuppet9527
        102
    sockpuppet9527  
       2020-11-16 10:01:11 +08:00
    @aydd2004 #99 看了之后我明白了恶臭的来源[doge]
    visualbasic
        103
    visualbasic  
       2020-11-16 10:04:55 +08:00 via Android
    @daveh 枚举常见开发者的 hash 值,然后匹配就可以,不需要还原成原始数据,和什么安全概念无关
    daveh
        104
    daveh  
       2020-11-16 10:42:48 +08:00 via iPhone
    @visualbasic 你还真聪明。。。
    hash 加盐估计你是看不懂。
    astkaasa
        105
    astkaasa  
       2020-11-16 13:35:01 +08:00
    astkaasa
        106
    astkaasa  
       2020-11-16 13:35:19 +08:00
    WuwuGin
        107
    WuwuGin  
       2020-11-16 14:17:05 +08:00
    @daveh 网络嗅探者可以下载常见的已经打包好的 macOS 翻墙应用,从应用中 dump 出 issuer key hash 。这么说明白了吗。
    Reficul
        108
    Reficul  
       2020-11-16 14:46:09 +08:00
    @WuwuGin

    OCSP 这个问题最好的利用场景也就这个了:找到用某一个软件的人或者 Ban 掉某一个软件,而且要利用这个洞还不容易,至少得是 ISP ?


    1. 有能力在这个层面监听 /MITM ;
    2. 知道每个用户 IP 对应实名信息 ;
    3. 有信息 /能力把上面两个关联起来;


    三个都有才能利用,苹果还真不一定有这个能力。退一步说苹果的 OCSP 实现里有啥 Track ID,能在服务端和 AppleID 对上,但也定位不到实名的人,最多是做一下用户画像卖个广告?苹果不卖广告吧。
    WuwuGin
        109
    WuwuGin  
       2020-11-16 15:52:29 +08:00
    @Reficul 苹果不会用明面上声明不会用,当然它也没必要用这个来做画像。但是这不代表别人不能用这个明文请求得到你用的软件。最简单的可以通过开发者比对你是不是用了魔法上网客户端。
    Gaussia
        110
    Gaussia  
       2020-11-16 22:57:27 +08:00
    @kerro1990 这是直接写 hosts 么?
    Reficul
        111
    Reficul  
       2020-11-16 23:45:36 +08:00
    @WuwuGin 没,别人只能知道有人在用,不能知道谁在用。

    所以就两个利用的点:
    1. 需要定位到人来爆破水表,这个只有 ISP 或者更上层的神秘力量有这个能力;
    2. 只是中间投毒,想 BAN 掉 App 而不在乎是谁。有这个动机的好像也只有它;

    所以我说好像也就能拿来反一下梯子
    kerro1990
        112
    kerro1990  
       2020-11-17 23:47:57 +08:00
    @Gaussia 对啊
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2848 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 12:33 · PVG 20:33 · LAX 04:33 · JFK 07:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.