如果你找到了一個蘋果的致命漏洞,原本可以獲得230萬人民幣的賞金,蘋果卻只給了11萬,你會是什麼一種感受?
近日,一名名叫Laxman Muthiyah的印度程式設計師發文稱,他成功找到了iCloud賬戶的一個致命漏洞,提交給蘋果公司後,原先可獲得35萬美元的賞金,變成了1。8萬美元。十分氣憤的他拒收了賞金,並表示“蘋果的漏洞獎賞機制太不公開透明瞭,我寧願免費分享我的研究。”
事情的經過到底是怎樣的?
發現iCloud致命漏洞
Laxman Muthiyah是一名來自印度的白帽駭客。
這裡稍微科普一下,白帽駭客指的是站在駭客的角度攻擊系統,進行安全漏洞排查的程式設計師。
一直以來Laxman Muthiyah致力於幫助各大平臺尋找漏洞,並以此獲得賞金。
今年3月4日,他因為發現了微軟賬戶中容易被劫持的漏洞,而獲得微軟5萬美元的獎賞。
這並不是他發現的第一個漏洞。早之前,他發現了Instagram賬戶中的一個漏洞。這個漏洞可以在賬戶所有者未經許可的情況下,入侵任何賬戶。Muthiyah將漏洞提交給了Facebook,因此他獲得了3萬美元的賞金。
Muthiyah因發現漏洞而獲獎的事情,還有很多。
去年,他想測試一下iCloud賬戶是否存在安全漏洞。
經過不懈地努力,他真的發現了一個安全問題:駭客可以利用Apple ID找回密碼這個功能,成功入侵任何一個iCloud賬戶。
他是怎麼做到的呢?
我們得從Apple ID找回密碼這個功能說起。
如果你想要修改蘋果賬戶的密碼,往往需要用手機或者郵箱接收一個6位數的驗證碼。
在不知道驗證碼的情況下,如果想要暴力破解幾乎不可能,6位數的驗證碼有100萬種可能性,而且蘋果還設定了規則,如果連續輸入驗證碼錯誤5次,賬戶會被鎖定。
似乎在這樣的機制下,駭客只能盲猜驗證碼去修改密碼,拿到賬戶控制權了。
但技術高超的Muthiyah使用了駭客手段,輕鬆地破解了iCloud賬戶。
具體方法是這樣的,首先他嘗試向Apple伺服器傳送大量的POST請求。
幾經嘗試,他發現如果傳送超過6個POST請求,IP便會被拉黑,之後再發送POST請求,就會出現503錯誤。
他還發現,在“忘記密碼”頁面一共出現了6個IP地址。也就是說,單個IP地址跨6個Apple伺服器地址的話,就可以傳送36個請求。
簡單計算一下,找到正確的驗證碼,大概需要28000個IP地址。
看起來好像還是很難,但IP地址從來都不會成為駭客們的阻礙。
透過使用28000個IP地址,對驗證碼進行嘗試,Muthiyah真的破解了iCloud賬戶的密碼!
駭客可以輕易拿到任何一個賬戶的密碼,意味著其中的所有資訊,都將洩露,這是一個非常致命的安全漏洞!
Muthiyah成功破解後非常興奮,立馬將這一漏洞提交給了Apple安全團隊。
賞金縮水95%
根據Apple官網上顯示的關於找到漏洞的懸賞規則,如果有人找出涉及iCloud賬戶的漏洞,賞金可以高達10萬美元,如果找到上鎖Apple裝置上提取使用者資料的漏洞,可以獲得25萬美元賞金。
Muthiyah發現的這一漏洞,將為他帶來35萬美元的收入。
但事情並沒有朝他想的那樣發展。
起先Apple團隊很積極地恢復了Muthiyah所提到的漏洞。
結果Apple好像開始磨起洋工。不僅沒有支付相關的賞金,甚至連這一致命漏洞都沒有修復,Muthiyah不斷地聯絡,時隔10個月後,Apple才將這個漏洞的補丁釋出到生產環境中,但Apple還是沒更新。
Muthiyah實在忍無可忍,他直接給Apple團隊寫了一封郵件,表示將在自己的部落格上公佈這一漏洞。
Apple還非常友善地表示,釋出之前可以先將稿子發來看看。
當Apple技術團隊看完稿子後,完全否認了他的看法,認為這個漏洞並不致命,只有非Apple裝置上的iCloud賬戶才會遭到攻擊,絕大部分使用者是不會受到影響的。
Muthiyah感到非常失望,於是他不管Apple是否同意,一定要將這一漏洞釋出在自己的部落格上。
這時Apple團隊給他發來了一封懸賞郵件,郵件裡肯定了他的行為,但也表示,只能支付給他1。8萬美元,合約11萬人民幣的獎勵。
對於蘋果的做法,Muthiyah簡直要氣炸了,十分乾脆地拒絕了這筆獎賞。
對於這一次的經歷,Muthiyah表示希望蘋果的安全團隊,更更加公開、透明地讓白帽駭客們,瞭解發現漏洞具體的賞金金額。
蔚可雲
蔚可雲專注提供雲產品與服務。秉承卓越的客戶服務精神,用科技全面驅動數字化未來,賦能各行各業。構建雲主機、液冷機房、雲計算、高效能計算、CDN雲加速、雲影片(直播、點播)、網路安全、SD-WAN、SSL證書等雲產品。93篇原創內容
公眾號
