嚴重的 Apple iCloud 漏洞允許自動盜竊照片

到目前為止，有道德的黑客從Apple Bug賞金計劃中獲得了將近30萬美元的報酬，他們在三個月的hack中發現了55個bug，其中11個是關鍵漏洞。

一群道德黑客破解了蘋果的基礎設施和系統，并在三個月的時間內發現了55個漏洞，其中許多漏洞使攻擊者可以完全控制客戶和員工的應用程序。

值得注意的是，一個關鍵的，易于感染的iCloud帳戶接管錯誤將使攻擊者能夠自動竊取受害者的所有文檔，照片，視頻等。

黑客Sam Curry，Brett Buerhaus，Ben Sadeghipour，Samuel Erb和Tanner Barnes的發現證明了該公司“龐大”基礎設施的主要弱點，同時迄今為止還為該團隊贏得了將近30萬美元的獎勵，Curry在廣泛的博客中詳細的團隊調查結果。

在蘋果基礎設施核心部分發現的漏洞中，有一些可能使攻擊者能夠：“完全破壞客戶和員工應用程序；發射能夠自動接管受害者的iCloud帳戶的蠕蟲；檢索內部Apple項目的源代碼；完全危害蘋果公司使用的工業控制倉庫軟件；并擁有訪問管理工具和敏感資源的能力來接管蘋果員工的會議。”他寫道。

在發現的55個漏洞中，有11個被評為嚴重嚴重，29個具有嚴重嚴重，13個具有中等嚴重以及2個具有低嚴重。庫里說，研究人員根據CvSS漏洞的嚴重性等級和“我們對與業務相關的影響的理解”對漏洞進行了評級。

據報道，可感染的iCloud錯誤是跨站點腳本（XSS）問題。iCloud是用于Apple產品的照片，視頻，文檔和與應用程序相關的數據的自動存儲機制。此外，該平臺還提供郵件和查找我的iPhone等服務。

“郵件服務是一個完整的電子郵件平臺，用戶可以在其中發送和接收類似于Gmail和Yahoo的電子郵件，” Curry解釋說。“此外，iOS和Mac上都有一個郵件應用程序，默認情況下會在產品上安裝該應用程序。郵件服務與文件和文檔存儲等所有其他服務一起托管在www.icloud.com上。”

他補充說：“從攻擊者的角度來看，這意味著任何跨站點腳本漏洞都將允許攻擊者從iCloud服務中檢索他們想要的任何信息。”

他在尋找了一段時間后發現了這樣的錯誤：“當電子郵件中有兩個樣式標簽時，樣式標簽的內容將被連接在一起成為一個樣式標簽，”他說。“這意味著，如果我們可以將’</ sty’放入第一個標簽，并將’le>’放入第二個標簽，則有可能欺騙應用程序，使我們認為我們的標簽在實際上不是打開的時候仍然處于打開狀態。”

該團隊最終能夠創建一個概念證明，它演示了竊取受害者所有個人iCloud信息(照片、日歷信息和文檔)的代碼，然后將相同的漏洞轉發給他們的所有聯系人。

網絡安全公司ImmuniWeb的創始人兼首席執行官Ilia Kolochenko表示，賞金獵人的成功應該是一個警鐘。

他在電子郵件中說：“不幸的是，不能保證這些漏洞沒有被復雜的威脅參與者利用來悄悄地危害VIP受害者。” “更糟糕的是，可能存在更多尚未發現的類似漏洞，黑客集團可能會利用這些漏洞獲利。現代的Web應用程序為擁有最關鍵信息的公司網絡打開了一扇門，它們的泄露對公司而言可能是致命的。”

蘋果響應和30萬美元

蘋果方面對錯誤報告做出了快速響應，在發布該錯誤報告之時便已修復了大多數錯誤報告，并在發現一到兩個工作日內發現的漏洞后對其進行了典型補救，并在極短的時間內對某些嚴重漏洞做出了響應他承認，大約四到六個小時。

“總的來說，蘋果公司對我們的報告非常敏感，”庫里說，并補充說，“截至10月8日，我們已針對各種漏洞共收到32筆付款，總計288,500美元。” 他說，這個數字可能會更高，因為蘋果傾向于按“批次”付款，因此黑客預計在未來幾個月內將有更多付款。

蘋果公司的公共漏洞賞金計劃是一個最近的事情，所有感興趣的各方都可以參與其中。經過開發人員多年的批評，該公司于去年12月向公眾開放了一個歷史悠久的私人程序，他們認為該公司需要對其硬件和軟件的缺陷更加透明。其中還包括一筆最高100萬美元的支出，以使這筆交易更加圓滿。

實際上，庫里稱自己為全職漏洞賞金獵人。他說，他在Twitter上獲悉研究人員從蘋果公司獲得的10萬美元獎勵后，便鼓舞他組建了一個黑客團隊，在蘋果公司的基礎設施下窺視了一下。繞開允許任意訪問任何Apple客戶帳戶的權限。

他寫道：“這令我感到驚訝，因為我以前了解到，蘋果的漏洞賞金計劃僅授予影響其物理產品的安全漏洞，而沒有為影響其Web資產的問題付款。”

他說，一旦他發現蘋果愿意為“對用戶產生重大影響”的漏洞買單，無論資產是否明確列出在范圍內，這都是一場游戲。

“這吸引了我的注意力，因為這是一個有趣的機會，可以研究一個看起來范圍廣泛且有趣的新程序，” Curry在帖子中寫道。他決定邀請過去與他一起工作過的黑客，盡管船上的每個人都知道并不能保證他們的發現能得到回報。

團隊在他們的工作中發現的關鍵漏洞如下：通過身份驗證和授權繞過Apple杰出的教育者計劃的全部漏洞；通過身份驗證旁路完全破壞DELMIA Apriso應用程序; 漏洞存儲的跨站點腳本漏洞使攻擊者可以通過修改后的電子郵件竊取iCloud數據；作者的ePublisher中的命令注入；iCloud上的完全響應SSRF允許攻擊者獲取Apple源代碼；通過REST錯誤泄漏訪問Nova Admin調試面板; 通過PhantomJS iTune標語和書名XSS的AWS密鑰；Apple eSign上的堆轉儲使攻擊者可以破壞各種外部員工管理工具；在Java Management API上對盲SSRF進行XML外部實體處理; GBI Vertica SQL注入和公開GSF API ; 各種IDOR漏洞; 和各種盲XSS漏洞。

庫里說，黑客已獲得蘋果安全團隊的許可，發布有關關鍵錯誤的詳細信息，所有這些錯誤均已修復并重新測試。

Kolochenko認為，這一發現令人震驚地提醒我們，即使是最大的科技公司也大大低估了他們的Web應用程序安全性。

他說：“大多數組織只是投資于一些自動掃描工具和經常性滲透測試，而沒有實施全面的應用安全計劃。”“這樣的計劃應包括對軟件開發人員的定期安全編碼培訓，引入旨在開發早期階段檢測漏洞的安全控制-所謂的‘左移’方法-并為第三方開發的軟件提供嚴格的安全指南。最后，現代軟件應在設計上納入隱私，以使其能夠無縫地遵守CCPA或GDRP等規定。“