一个由 5 名黑客组成的研究小组用三个月时间发现了苹果系统中的 55 个漏洞,这些漏洞意味着攻击者可以完全侵入用户的 iCloud 账户,窃取所有照片、信息和文件,并将相同的漏洞转发给所有的联系人。
这些漏洞披露后,苹果公司已经在 1-2 个工作日内进行了修复,其中一些问题在几个小时内就得到了解决。向苹果报告这些漏洞后,黑客小组获得了 5 万美元的奖励。
这 55 个漏洞是由 Sam Curry、Brett Buerhaus、Ben Sadeghipour、Samuel Erb 和 Tanner Barnes 在 7 月到 9 月的三个月时间里共同发现的。
这些漏洞包括 29 个高度严重、13 个中度严重和 2 个低度严重的漏洞,它们可以让攻击者“完全侵入客户和员工的应用程序,启动一个能够自动接管受害者 iCloud 账户的蠕虫病毒,检索苹果内部项目的源代码,完全侵入苹果使用的工业控制仓库软件,并接管苹果员工的会议,使其具有访问管理工具和敏感资源的能力。”
这意味着,攻击者除了可以将相同的漏洞通过用户账户转发给其所有联系人之外,还可以轻松的窃取用户 iCloud 账户内的所有照片、视频、日历信息和文档资料。
其中一个受到影响的苹果域名包括苹果杰出教育者网站(“ ade.Apple.com”),该网站允许使用默认密码(# # INvALID #% !3”),进行身份验证绕过,从而允许攻击者访问管理控制台并执行任意代码。
同样的,一个名为 DELMIA Apriso 的仓库管理解决方案,在密码重置过程中的一个漏洞,使得创建和修改货运、库存信息、验证员工徽章、甚至通过创建恶意软件来完全控制软件成为可能。
在 Apple Books for Authors 服务中还发现了一个单独的漏洞,作者可以利用这个漏洞在 Apple Books 平台上撰写和出版自己的作品。具体来说,通过使用 ePub 文件上传工具,研究人员能够操纵 HTTP 请求,目的是在“ authors.apple.com”服务器上运行任意命令。
研究人员发现的其他关键风险之一是源自“ www.icloud. com”域名的跨网站脚本安全漏洞,该漏洞只需向 icloud. com 或 mac. com 发送一个特制的邮件地址,当攻击者在浏览器中通过 Apple Mail 打开该邮件时,就可以窃取所有的照片和联系人。
更重要的是,XSS 漏洞是可蠕虫病毒,这意味着可以通过向受害者联系人中存储的每个 iCloud.com 或 Mac.com 地址发送类似的电子邮件,轻松传播该漏洞。
黑客小组的 Sam Curry 在其博客中提到:“当我们刚开始这个项目时,我们不知道我们会花三个多月的时间来完成它,这原本是一个附属项目,我们会不时进行,但是由于大流行的所有额外空闲时间,我们每个人最终都花了数百个小时。”
自去年以来,苹果一直在积极推进其赏金计划,为提供漏洞报告的黑客颁发奖金,奖金最高可达 100 万美元。
Sam Curry 等人组成的 5 人黑客小组目前已获得了 51500 美元的奖金。其中包括用于公开 iCloud 用户全名的 5000 美元,发现 IDOR 漏洞的 6000 美元,访问内部公司环境的 6500 美元和发现包含客户数据的系统内存泄漏的 34000 美元。
在苹果安全团队的允许下,这几名黑客在报告中详细介绍了这些漏洞,以及查找这些漏洞的方法。据了解,他们还可能通过苹果的赏金计划获得其他更多奖金。