V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
windirt
V2EX  ›  Apple

Apple ID 的密码被静默修改

  •  
  •   windirt · 2023-02-17 09:32:19 +08:00 · 2387 次点击
    这是一个创建于 678 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我的 icloud 帐号和 apple store 帐号是分开使用的,apple store 帐号是 gmail.com ,开启了两步验证(授信设备验证或者短信验证码)

    今天查看 gmail 邮箱的时候,发现一封苹果发来的邮件说昨天下午 17:44 的时候,这个 gmail 的 apple id 密码被重设成功,此时间段我未收到任何授信设备登录提醒以及短信。gmail.com 帐号是开启了谷歌高级数据保护的,需要刷 yubikey 才能登录的。

    于是我使用这个帐号登录 icloud.com ,显示帐号和密码错误。

    找回帐号的过程中,需要验证手机号,这个通过了,然后苹果说在我其他所有登录过这个帐号的设备上会弹出授信登录和六位数字,结果无论是 iPhone 还是 Macbook 都没有任何弹出,选择其他方式,继续验证短信和邮箱,输入两次六位代码以后,一个工作日以后通过邮箱告知结果。

    现在好奇的是 Apple 修改密码没有任何验证的? 我的密码是怎么被修改的?

    第 1 条附言  ·  2023-02-17 10:37:18 +08:00
    刚才在 Macbook 上,打开 App Store ,选择重置密码,果然是输入 MacBook 解锁密码直接就让输两次密码给重置了,期间没有任何其他验证,100%做实了家里老头瞎戳戳的证据。
    第 2 条附言  ·  2023-02-17 11:03:01 +08:00
    破案了
    是我妈,昨天老太太路过面包店,有饿了吗的地推在搞下载饿了吗 app ,送 20 元礼品,我妈不懂怎么搞,就把手机给人操作,我妈确认了过程中输入了一次解锁密码。应该是地推下载 app 的时候不知道密码,索性重置了。
    13 条回复    2023-02-17 11:33:30 +08:00
    mringg
        1
    mringg  
       2023-02-17 09:34:45 +08:00
    感觉主要因为这步 “apple id 密码重设”,所以没有验证的提示。
    shyrock
        2
    shyrock  
       2023-02-17 09:50:39 +08:00
    我也收到了,是被女儿修改的。

    苹果的沙币设计,用 iPad 锁屏密码就可以重置登录 iPad 的 app id 密码
    shyrock
        3
    shyrock  
       2023-02-17 09:51:44 +08:00   ❤️ 1
    我猜设计初衷是为了解决一些记性不好的蠢人忘了 app id 密码的问题,就让这帮笨蛋有机会通过简单的锁屏密码来重置 app id 密码。。。
    RiverMud
        4
    RiverMud  
       2023-02-17 09:58:36 +08:00 via iPhone
    正如 2L3L 说的那样,iOS14 还是 15 出的沙币特性。

    检查下你是不是有其他设备 iCloud 登录了 gmail
    dearmymy
        5
    dearmymy  
       2023-02-17 09:58:37 +08:00
    首先两点要确认下
    1 ,apple id 是否自己注册还是购买。
    2 ,手机号是否自己自用实体卡还是 gv 之类。
    他修改你没提醒,我能想到原因就是
    1 ,这个 apple id 信任过其他人设备,想想是否用爱思助手之类,不只是手机,pc 信任也会导致被修改。
    2 ,他能拦截你手机号,如果使用虚拟号可以想想
    3 ,他知道你 id 跟手机号。恢复选择记不住密码跟手机遗失。但是好像审核需要 1 个月左右,你搜下近几个月邮箱有收到苹果邮寄没
    4 ,就是你身边人物理黑客。。。
    shyrock
        6
    shyrock  
       2023-02-17 10:02:33 +08:00
    @RiverMud #4 用简单密码重置复杂密码,用低风险密码重置高风险密码。这特么毫无安全常识的设计真的让人想开骂。不知道哪里有渠道可以把问题报给库克。
    windirt
        7
    windirt  
    OP
       2023-02-17 10:05:10 +08:00
    @dearmymy

    1. 2010 年自己注册的
    2. 自用十几年号码
    3. 因为是 App Store 购买帐号,所以在家里所有设备上都有登录,大概十几个吧
    4. 我初步怀疑是我家老头改的,因为前几天才淘汰了一个 iPhone 给他,暂时还没给他加入 iCloud 家庭,仅仅只登录了 App Store 帐号(也就是涉事帐号)便于给他下载 app

    大概率是老头瞎戳戳的时候乱改的

    等回家再问了,估计也是一脸无辜,我啥都不知情的样子
    xtx
        8
    xtx  
       2023-02-17 10:48:35 +08:00 via iPhone
    很早以前就吐槽过了,不用验证码,不用老密码,可以直接改 appleid 密码。
    xtinput
        9
    xtinput  
       2023-02-17 10:54:33 +08:00
    因为它是可信任设备,所以解锁密码就能改密码了
    essethon
        10
    essethon  
       2023-02-17 10:58:18 +08:00   ❤️ 1
    @shyrock #3 个人理解:

    感觉苹果的产品体系就是围绕硬件(尤其是 iPhone )展开的,在这个体系里硬件( Trusted device )有很高的优先级,例如,苹果认为你的 iPhone/MacBook 本地加密密钥比作为「互联网账号」的 Apple ID 安全性高一个 level 。

    所以,如果你手上控制着某个 Apple ID 关联的 trusted device ,那么使用这个 trusted device 去修改那个 Apple ID 的密码就是符合安全设计逻辑的。

    反之则不行,你不能用 Apple ID 的信息去解锁一个你忘了锁屏密码的 iPhone/Mac 。
    oreoiot
        11
    oreoiot  
       2023-02-17 11:03:13 +08:00 via iPhone
    加一层访问限制可解?
    Lax
        12
    Lax  
       2023-02-17 11:33:16 +08:00
    恭喜破案。幸好我给爹妈的设备用了单独的 apple id
    essethon
        13
    essethon  
       2023-02-17 11:33:30 +08:00
    这个地推也太「敬业」了😂
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3139 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 00:38 · PVG 08:38 · LAX 16:38 · JFK 19:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.