一篇部落格文章显示,一群骇客针对苹果庞大线上基础设施,花费数月发现一系列漏洞,包括允许骇客窃取用户 iCloud 账号档案的漏洞。
不过与蓄意破坏的骇客不同,这些是“白帽骇客”,意味着他们的目标是警告苹果,而不是窃取个资。此骇客团队由 20 岁 Sam Curry 领导,其他研究人员包括 Brett Buerhaus、Ben Sadeghipour、Samuel Erb、Tanner Barnes。
Sam Curry 说,和团队共发现 55 个漏洞,11 项标记为“高危险”,因允许控制苹果的核心基础设施,并窃取私人信箱、iCloud 资料和其他个资。
11 项高危险漏洞是:
- 透过授权和身份验证绕过执行远端程式码。
- 透过配置错误的许可权绕过身份验证允许全域管理员存取。
- 透过未经过滤的档名参数输入指令。
- 透过泄露的机密和公开的管理员工具执行远端程式码。
- 内存泄漏导致员工和用户账号泄露,进而允许存取各种内部应用程序。
- 透过未经过滤的汇入参数输入 Vertica SQL。
- 可修复的储存 XSS 允许攻击者完全危害受害者 iCloud 账号(1)。
- 可修复的储存 XSS 允许攻击者完全危害受害者 iCloud 账号(2)。
- 完全回应 SSRF 允许攻击者读取内部来源码并存取受保护的资源。
- Blind XSS 允许攻击者存取内部支援门户以追踪用户和员工的问题。
- 服务器端 PhantomJS 执行允许攻击者存取内部资源并检索 AWS IAM 加密键。
发表 9,200 字的《我们入侵苹果 3 个月:以下是我们发现的漏洞》后几小时,Curry 在网络聊天说,“如果这些问题被攻击者利用,苹果将面临大规模个资泄露和信誉损失,如攻击者可存取管理用户资讯的内部工具,还可变更周围系统,照骇客的指示运作。”
团队发现最严重的风险,是由服务器使用的 JavaScript 分析器储存的跨网站程式档漏洞(缩写 XSS)造成的 www.iCloud.com。这漏洞使骇客建立蠕虫,感染联络人 iCloud 账号前,先窃取用户 iCloud 档案。由于 iCloud 为 Apple Mail 提供服务,因此可向含恶意程式码的 iCloud.com 信箱寄信后,白帽骇客就能入侵 iCloud 账号。
目标只需开启信件就会被骇客攻击。一旦发生这种情况,藏在恶意信件的程式档允许骇客在浏览器存取 iCloud 时执行目标可能执行的任何操作。
Curry 说,XSS 漏洞可修复,意味着当用户只开启恶意信件时,可能会在用户之间传递。这类蠕虫透过包含程式档运作,传给每个 iCloud.com 网站或 Mac.com 网站受害者联络名单的地址。
寻找错误的过程,Curry 和团队意外揭开苹果线上基础架构规模的面纱。他们发现,苹果拥有超过 25,000 台 Web 服务器,分别属于 Apple.com、iCloud.com 和 7 千多个其他网域。许多漏洞是透过搜寻苹果拥有的不起眼 Web 服务器(如杰出教育者网站)发现。
为苹果杰出教育者保留的网站,另一个漏洞是当有人提交包括用户名、姓氏、电子邮件和雇主申请时,有个预设密码──“无效”结果(“###INvALID#%!3”)。
Curry 说:“如果有人使用这系统申请,并有可手动验证的功能,只需使用预设密码登入账号,就能完全绕过‘用苹果登入’方法。”
最终,骇客能使用暴力破解的方法预测名为“erb”的用户,并以此手动登入账号。骇客随后又登入其他几个账号,账号之一在网络拥有“核心管理员”许可权。
透过控制界面,骇客可在控制 ade.apple.com 网域和存取储存用户账号凭据的内部 LDAP 服务。这样一来,他们就可存取苹果大部分内部网络。
总体来看,Curry 团队发现并报告 55 个漏洞,严重程度为 11 个严重、29 个进阶、13 个普通和 2 个低阶。这些名单和发现日期 Curry 的文章都有详细说明。
Curry 报告漏洞并提出建议几小时内,苹果便立即修复漏洞。截至目前,苹果已处理约一半,并承诺支付 288,500 美元。Curry 说,一旦苹果处理完剩余漏洞,支付总额可能超过 50 万美元。
而苹果声明:
我们会警惕地保护我们的网络,并拥有专门的资讯安全专业人员团队,他们致力于侦测并回应威胁。一旦研究人员提醒我们注意报告详述的问题,我们将立即修复漏洞,并采取措施防止将来发生问题。根据我们的日志,研究人员是第一个发现漏洞的人,因此我们确信不会滥用任何用户资料。我们重视与安全研究人员合作,以帮助确保用户安全。感谢该团队的协助,公司将以苹果网络安全赏金计划奖励他们。
- Researchers Found 55 Flaws in Apple’s Corporate Network
- A group of hackers won $288,500 from Apple for telling the company about 55 bugs, including one that would’ve let an attacker steal someone’s iCloud photos
(本文由 雷锋网 授权转载;首图来源:Flickr/Blogtrepreneur CC BY 2.0)
