苹果用 http OCSP 协议校验每个程序的 HASH 这个没得洗
bethebetter · 2020-11-15 09:58:27 +08:00 · 13936 次点击这是一个创建于 1257 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://apple.slashdot.org/story/20/11/13/1726224/your-computer-isnt-yours
These OCSP requests are transmitted unencrypted.
https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
OCSP 一般浏览器用来校验 CA 根证书状态,根 CA 可以签发多个不同的网站,并不是把你访问网站的域名发过去校验
但是$Apple OCSP$这个东西就厉害了,他是校验你程序的 HASH,你运行任何程序都会发给他,我们苹果太厉害啦!
第 1 条附言 · 2020-11-15 11:04:46 +08:00
https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol#Basic_PKI_implementation
Basic PKI implementation 这个实现确实是校验的是 End Entity 而不是 CA
Basic PKI implementation 这个实现确实是校验的是 End Entity 而不是 CA
 |
101
ryanlid 2020-11-16 10:00:21 +08:00
泄露的东西多了去了,在 https 中,主机名部分,是没有加密的,经过的网络设备都是可以知道你访问某个域名的哦,还有目标主机的 IP 地址哦,收集起来也是可以分析。
|
 |
102
sockpuppet9527 2020-11-16 10:01:11 +08:00
@aydd2004 #99 看了之后我明白了恶臭的来源[doge]
|
 |
103
visualbasic 2020-11-16 10:04:55 +08:00 via Android
@daveh 枚举常见开发者的 hash 值,然后匹配就可以,不需要还原成原始数据,和什么安全概念无关
|
 |
104
daveh 2020-11-16 10:42:48 +08:00 via iPhone
@visualbasic 你还真聪明。。。
hash 加盐估计你是看不懂。 |
 |
105
astkaasa 2020-11-16 13:35:01 +08:00
|
|
106
astkaasa 2020-11-16 13:35:19 +08:00
|
 |
107
WuwuGin 2020-11-16 14:17:05 +08:00
@daveh 网络嗅探者可以下载常见的已经打包好的 macOS 翻墙应用,从应用中 dump 出 issuer key hash 。这么说明白了吗。
|
 |
108
Reficul 2020-11-16 14:46:09 +08:00
@WuwuGin
OCSP 这个问题最好的利用场景也就这个了:找到用某一个软件的人或者 Ban 掉某一个软件,而且要利用这个洞还不容易,至少得是 ISP ? 1. 有能力在这个层面监听 /MITM ; 2. 知道每个用户 IP 对应实名信息 ; 3. 有信息 /能力把上面两个关联起来; 三个都有才能利用,苹果还真不一定有这个能力。退一步说苹果的 OCSP 实现里有啥 Track ID,能在服务端和 AppleID 对上,但也定位不到实名的人,最多是做一下用户画像卖个广告?苹果不卖广告吧。 |
|
109
WuwuGin 2020-11-16 15:52:29 +08:00
@Reficul 苹果不会用明面上声明不会用,当然它也没必要用这个来做画像。但是这不代表别人不能用这个明文请求得到你用的软件。最简单的可以通过开发者比对你是不是用了魔法上网客户端。
|
Select Language