严重的 Apple iCloud 漏洞允许自动盗窃照片
到目前为止,有道德的黑客从Apple Bug赏金计划中获得了将近30万美元的报酬,他们在三个月的hack中发现了55个bug,其中11个是关键漏洞。
一群道德黑客破解了苹果的基础设施和系统,并在三个月的时间内发现了55个漏洞,其中许多漏洞使攻击者可以完全控制客户和员工的应用程序。
值得注意的是,一个关键的,易于感染的iCloud帐户接管错误将使攻击者能够自动窃取受害者的所有文档,照片,视频等。
黑客Sam Curry,Brett Buerhaus,Ben Sadeghipour,Samuel Erb和Tanner Barnes的发现证明了该公司“庞大”基础设施的主要弱点,同时迄今为止还为该团队赢得了将近30万美元的奖励,Curry在广泛的博客中详细的团队调查结果。
在苹果基础设施核心部分发现的漏洞中,有一些可能使攻击者能够:“完全破坏客户和员工应用程序;发射能够自动接管受害者的iCloud帐户的蠕虫;检索内部Apple项目的源代码;完全危害苹果公司使用的工业控制仓库软件;并拥有访问管理工具和敏感资源的能力来接管苹果员工的会议。”他写道。
在发现的55个漏洞中,有11个被评为严重严重,29个具有严重严重,13个具有中等严重以及2个具有低严重。库里说,研究人员根据CvSS漏洞的严重性等级和“我们对与业务相关的影响的理解”对漏洞进行了评级。
据报道,可感染的iCloud错误是跨站点脚本(XSS)问题。iCloud是用于Apple产品的照片,视频,文档和与应用程序相关的数据的自动存储机制。此外,该平台还提供邮件和查找我的iPhone等服务。
“邮件服务是一个完整的电子邮件平台,用户可以在其中发送和接收类似于Gmail和Yahoo的电子邮件,” Curry解释说。“此外,iOS和Mac上都有一个邮件应用程序,默认情况下会在产品上安装该应用程序。邮件服务与文件和文档存储等所有其他服务一起托管在www.icloud.com上。”
他补充说:“从攻击者的角度来看,这意味着任何跨站点脚本漏洞都将允许攻击者从iCloud服务中检索他们想要的任何信息。”
他在寻找了一段时间后发现了这样的错误:“当电子邮件中有两个样式标签时,样式标签的内容将被连接在一起成为一个样式标签,”他说。“这意味着,如果我们可以将’</ sty’放入第一个标签,并将’le>’放入第二个标签,则有可能欺骗应用程序,使我们认为我们的标签在实际上不是打开的时候仍然处于打开状态。”
该团队最终能够创建一个概念证明,它演示了窃取受害者所有个人iCloud信息(照片、日历信息和文档)的代码,然后将相同的漏洞转发给他们的所有联系人。
网络安全公司ImmuniWeb的创始人兼首席执行官Ilia Kolochenko表示,赏金猎人的成功应该是一个警钟。
他在电子邮件中说:“不幸的是,不能保证这些漏洞没有被复杂的威胁参与者利用来悄悄地危害VIP受害者。” “更糟糕的是,可能存在更多尚未发现的类似漏洞,黑客集团可能会利用这些漏洞获利。现代的Web应用程序为拥有最关键信息的公司网络打开了一扇门,它们的泄露对公司而言可能是致命的。”
苹果响应和30万美元
苹果方面对错误报告做出了快速响应,在发布该错误报告之时便已修复了大多数错误报告,并在发现一到两个工作日内发现的漏洞后对其进行了典型补救,并在极短的时间内对某些严重漏洞做出了响应他承认,大约四到六个小时。
“总的来说,苹果公司对我们的报告非常敏感,”库里说,并补充说,“截至10月8日,我们已针对各种漏洞共收到32笔付款,总计288,500美元。” 他说,这个数字可能会更高,因为苹果倾向于按“批次”付款,因此黑客预计在未来几个月内将有更多付款。
苹果公司的公共漏洞赏金计划是一个最近的事情,所有感兴趣的各方都可以参与其中。经过开发人员多年的批评,该公司于去年12月向公众开放了一个历史悠久的私人程序,他们认为该公司需要对其硬件和软件的缺陷更加透明。其中还包括一笔最高100万美元的支出,以使这笔交易更加圆满。
实际上,库里称自己为全职漏洞赏金猎人。他说,他在Twitter上获悉研究人员从苹果公司获得的10万美元奖励后,便鼓舞他组建了一个黑客团队,在苹果公司的基础设施下窥视了一下。绕开允许任意访问任何Apple客户帐户的权限。
他写道:“这令我感到惊讶,因为我以前了解到,苹果的漏洞赏金计划仅授予影响其物理产品的安全漏洞,而没有为影响其Web资产的问题付款。”
他说,一旦他发现苹果愿意为“对用户产生重大影响”的漏洞买单,无论资产是否明确列出在范围内,这都是一场游戏。
“这吸引了我的注意力,因为这是一个有趣的机会,可以研究一个看起来范围广泛且有趣的新程序,” Curry在帖子中写道。他决定邀请过去与他一起工作过的黑客,尽管船上的每个人都知道并不能保证他们的发现能得到回报。
团队在他们的工作中发现的关键漏洞如下:通过身份验证和授权绕过Apple杰出的教育者计划的全部漏洞;通过身份验证旁路完全破坏DELMIA Apriso应用程序; 漏洞存储的跨站点脚本漏洞使攻击者可以通过修改后的电子邮件窃取iCloud数据;作者的ePublisher中的命令注入;iCloud上的完全响应SSRF允许攻击者获取Apple源代码;通过REST错误泄漏访问Nova Admin调试面板; 通过PhantomJS iTune标语和书名XSS的AWS密钥;Apple eSign上的堆转储使攻击者可以破坏各种外部员工管理工具;在Java Management API上对盲SSRF进行XML外部实体处理; GBI Vertica SQL注入和公开GSF API ; 各种IDOR漏洞; 和各种盲XSS漏洞。
库里说,黑客已获得苹果安全团队的许可,发布有关关键错误的详细信息,所有这些错误均已修复并重新测试。
Kolochenko认为,这一发现令人震惊地提醒我们,即使是最大的科技公司也大大低估了他们的Web应用程序安全性。
他说:“大多数组织只是投资于一些自动扫描工具和经常性渗透测试,而没有实施全面的应用安全计划。”“这样的计划应包括对软件开发人员的定期安全编码培训,引入旨在开发早期阶段检测漏洞的安全控制-所谓的‘左移’方法-并为第三方开发的软件提供严格的安全指南。最后,现代软件应在设计上纳入隐私,以使其能够无缝地遵守CCPA或GDRP等规定。“
