[[407334]]

本文經(jīng)AI新媒體量子位（公眾號ID:QbitAI）授權(quán)轉(zhuǎn)載，轉(zhuǎn)載請聯(lián)系出處。

好不容易找出iCloud賬戶漏洞，但他竟然拒收蘋果1.8萬美元獎金！

最近，這件事在Hacker News上引起大批網(wǎng)友圍觀。

本來程序員找出漏洞、提交報告、獲得相應(yīng)公司給予的獎金，這是極其平常的事情。

怎么還會有人拒絕獎金呢？

對此，這位小哥回應(yīng)說：

因?yàn)樘O果的做法太不公開透明了，我寧愿免費(fèi)分享我的研究。

這實(shí)在是令人嘩然啊。

這不禁讓人好奇，蘋果到底做了什么事竟會引得小哥如此憤怒？

28000個IP地址破解iCloud賬戶

Laxman Muthiyah是一位來自印度的白帽黑客。

白帽黑客：指站在黑客的立場攻擊自己的系統(tǒng)以進(jìn)行安全漏洞排查的程序員。

一直以來他都在關(guān)注各種平臺的賬戶是否存在安全漏洞。

就在去年，他想測試一下iCloud賬戶是否安全。

然而這一測，就測出來問題了：

他發(fā)現(xiàn)利用Apple ID找回密碼的機(jī)制，能夠成功入侵任意一個iCloud賬戶。

這是怎么做到的呢？

要知道，蘋果在2014年iCloud賬戶泄露私密照事件后，就添加了雙因素身份認(rèn)證功能。

如果想要更改密碼，往往要用已綁定的手機(jī)號或郵箱來接收一個6位的驗(yàn)證碼。

如果想要在不知道特定驗(yàn)證碼的情況下，通過排列組合試出正確的6位驗(yàn)證碼。

大約有100萬種可能。

而且你不可能通過這樣的嘗試試對一個驗(yàn)證碼。

因?yàn)楫?dāng)你連續(xù)5次輸入錯誤的驗(yàn)證碼后，賬戶就會被鎖住幾個小時，即使更換IP也沒有用。

從常規(guī)操作看，蘋果的機(jī)制真的非常安全。

但是這位小哥用黑客手段試了試，結(jié)果就不一樣了……

他首先嘗試向Apple服務(wù)器同時發(fā)送大量的POST請求。

結(jié)果發(fā)現(xiàn)，如果同時發(fā)送6個以上的POST請求，IP地址就會被Apple服務(wù)器拉黑。之后再發(fā)送POST請求，就會出現(xiàn)503錯誤。

我們計劃在下一步的安全系統(tǒng)更新中解決這個問題。

無論是試了5次驗(yàn)證碼被鎖、還是6次以上POST請求后被拉黑，這些都是在同一個IP地址下進(jìn)行的。

如果換一換IP地址呢？

如果用單個IP地址跨6個Apple服務(wù)器地址，就可以發(fā)送36個請求。

按照6位驗(yàn)證碼的100萬種可能，想要試出正確答案，需要28000個IP地址。

這個數(shù)字看上去很多，但是如果使用云服務(wù)提供商的話，事情就so easy了。

小哥先嘗試用了AWS、谷歌云等服務(wù)商，結(jié)果發(fā)現(xiàn)Apple把他們都拉黑了。

但他還沒放棄，又換了一家不知名的云服務(wù)商試試看。

結(jié)果，入侵成功了！

也就是說，用這種暴力破解的方式，可以更改任意一個iCloud賬戶的密碼！

1.8w賞金？我不要了

發(fā)現(xiàn)了這樣的漏洞后，程序員小哥趕緊向Apple安全團(tuán)隊報告了詳細(xì)的演示過程。

一開始，Apple的態(tài)度非常友好，不到1個小時就給出了積極的回應(yīng)。

他們表示，的確存在這樣的問題，目前已經(jīng)對漏洞進(jìn)行分類。

有了這樣的反饋，Laxman也就放心了，靜靜等待Apple修復(fù)這個漏洞。

結(jié)果，Apple似乎和犯了拖延癥一樣，幾個月過去了，毫無更新的跡象。

這樣嚴(yán)重的漏洞，卻遲遲不修復(fù)，小哥對此表示非常不理解，于是他跑去質(zhì)問Apple團(tuán)隊。

結(jié)果他們“氣定神閑”地回應(yīng)道：

我們計劃在下一步的安全系統(tǒng)更新中解決這個問題。

雖然很慢，但是好在這件事Apple確實(shí)還在推進(jìn)ing。

終于在時隔近10個后，今年4月1日，這個漏洞的補(bǔ)丁發(fā)布到生產(chǎn)環(huán)境中了，但Apple還是沒更新。

這種擠牙膏行為，讓Laxman實(shí)在忍無可忍了。

他想把漏洞問題盡快發(fā)布出來，就去聯(lián)系A(chǔ)pple說，想要把報告發(fā)布到自己的博客中。

Apple表示，發(fā)之前可以給他們看一下草稿嗎？

然后，事情從這就開始變得不對勁了。

在看到小哥的草稿后，Apple居然完全否認(rèn)了他的說法。

他們表示，這個漏洞并不會影響絕大部分用戶，僅僅是非Apple設(shè)備上的iCloud賬戶才有可能被攻擊。

而在Laxman博客中表示，絕對不是這樣的！

他還發(fā)現(xiàn)，Apple不知道什么時候默默更改了支持中心頁面中關(guān)于忘記密碼的一些內(nèi)容。

在2020年10月份時，Apple的支持中心頁面長這樣：

現(xiàn)在，它增加了“in some cases”的限定條件。

對于這個情況，小哥去質(zhì)問Apple官方怎么回事。

官方回應(yīng)說，這個更改其實(shí)是和iOS 14有關(guān)。

受信任的電話號碼、郵箱和iOS 14能有什么關(guān)系？？？？

這不就是明知有漏洞，但是卻不打算公開、只想模糊問題不了了之嗎？

看到蘋果這樣的態(tài)度，Laxman真的非常失望，他打算不管Apple官方是否批準(zhǔn)，自己都要發(fā)布這篇博客了。

此時，Apple團(tuán)隊又安排了一個工程師和他通話，來解釋為什么他們在支持中心上的改動和小哥發(fā)現(xiàn)的漏洞無關(guān)。

在和工程師溝通后，小哥為了論證他的說法，又做了一系列的測試。

當(dāng)他再次用同樣的方式入侵賬戶時，結(jié)果卻完全不一樣了！

同時發(fā)送30次請求測試時，發(fā)現(xiàn)其中有29個請求被拒絕了。

對于這樣的結(jié)果，小哥更加懷疑：

如果Apple安全團(tuán)隊在他報告漏洞后進(jìn)行了修補(bǔ)，那可能一開始的漏洞比他想象的還要嚴(yán)重。

可能不僅可以入侵任何一個iCloud賬戶，而且還能發(fā)現(xiàn)與其關(guān)聯(lián)的Apple設(shè)備密碼。

[[407337]]

之后，小哥又收到了Apple的懸賞郵件。

但是這個結(jié)果卻讓人有些哭笑不得。

在Apple官網(wǎng)上，涉及到iCloud賬戶入侵漏洞的實(shí)際賞金高達(dá)10w美元，找出從上鎖Apple設(shè)備上提取用戶數(shù)據(jù)的漏洞賞金有25w美元。

小哥認(rèn)為自己報告的漏洞涵蓋了這兩種情況，應(yīng)該得到35w美元的獎勵。

然而在郵件中，他的獎金只有1.8w元。

先不說錢不錢的事情，蘋果這一系列做法真的非常不公開透明。

而且，當(dāng)他想再和蘋果安全團(tuán)隊溝通這個問題時，所有的郵件都石沉大海了。

面對蘋果這樣的態(tài)度，Laxman干脆一不做二不休，拒絕了Apple的獎金，免費(fèi)和蘋果分享了自己的研究。

網(wǎng)友：Apple貶低了小哥所做的一切

果然，Laxman在網(wǎng)上發(fā)布事情的經(jīng)過后，立刻引起了許多人的關(guān)注。

網(wǎng)友們幾乎一邊倒指責(zé)Apple團(tuán)隊的做法。

他們用這樣的方法，只用一點(diǎn)錢來獎勵程序員，這貶低了他對此做出的貢獻(xiàn)。

大家也非常心疼這位小哥，認(rèn)為他遠(yuǎn)遠(yuǎn)不止應(yīng)該得到這么一點(diǎn)錢。

雖然1.8w也很多了，但是我認(rèn)為他的工作至少值得10w美元。

更重要的是，這件事暴露了蘋果的安全部門態(tài)度非常有問題。

為什么安全部門如此不友好？

我覺得每個披露漏洞的博文都是這種形式：沒有回復(fù) - 延遲回復(fù) - 模糊回復(fù) - 淡化漏洞 - 減少賞金。

他們把白帽黑客當(dāng)做是一種風(fēng)險，而不是和他們合作。

事實(shí)上，白帽黑客應(yīng)該是安全部門最好的伙伴啊。

也有網(wǎng)友表示，蘋果這樣含糊其辭，可能是怕發(fā)布了漏洞后影響自己的股價吧。

不要忘記這會帶來的商業(yè)影響……

但這并不是是Laxman第一次提交漏洞報告。

此前他發(fā)現(xiàn)Facebook、Instagram、Microsoft賬戶也存在類似的安全隱患。

在和相應(yīng)的團(tuán)隊取得聯(lián)系后，他們的態(tài)度可以說是和蘋果截然不同

Facebook和Microsoft對小哥做的工作都表示了感謝，而且也給予了豐厚的獎勵。

對于這一次的經(jīng)歷，Laxman由衷地希望蘋果安全團(tuán)隊能在未來更加公開、透明。

而且一再強(qiáng)調(diào)以上漏洞已經(jīng)被修復(fù)，并感謝了蘋果的修復(fù)工作。