苹果向运行公司网络的白帽黑客支付28.8万美元

2020-10-11 17:10:40

一名安全研究人员周四表示,几个月来,苹果的公司网络一直面临黑客攻击的风险,黑客可能会窃取潜在数百万客户的敏感数据,并在他们的手机和电脑上执行恶意代码。

20岁的山姆·库里(Sam Curry)是一名专门研究网站安全的研究员,他说,他和他的团队总共发现了55个漏洞。他对其中11个给予了关键评级,因为它们允许他控制苹果的核心基础设施,并从那里窃取私人电子邮件、iCloud数据和其他私人信息。

内存泄漏会导致员工和用户帐户受损,从而允许访问各种内部应用程序。

盲XSS允许攻击者访问内部支持门户,以跟踪客户和员工问题。

在库里在三个月的时间里报告了这些漏洞后,苹果立即修复了这些漏洞,通常是在他最初咨询后的几个小时内。到目前为止,该公司已经处理了大约一半的漏洞,并承诺为它们支付28.85万美元。库里说,一旦苹果处理剩下的部分,总支出可能会超过50万美元。

“如果这些漏洞被攻击者利用,苹果将面临大规模的信息泄露和诚信损失,”库里在发布了一篇9200字的题为“我们入侵苹果3个月:这是我们的发现”的文章几个小时后,在一次在线聊天中说。例如,攻击者可以访问用于管理用户信息的内部工具,另外还可以更改系统,使其按照黑客的意图工作。

其中最严重的风险是www.icLoud.com的服务器使用的JavaScript解析器中存储的跨站点脚本漏洞(通常缩写为XSS)带来的风险。因为iCloud向Apple Mail提供服务,所以可以通过向具有iCloud.com或mac.com地址的人发送包含恶意字符的电子邮件来利用该漏洞。

目标只需要打开要被黑客攻击的电子邮件。一旦发生这种情况,隐藏在恶意电子邮件中的脚本允许黑客在浏览器中访问iCloud时执行目标可以执行的任何操作。下面的视频显示了将目标的所有照片和联系人发送给攻击者的概念验证攻击。

库里说,存储的XSS漏洞是可蠕虫的,这意味着当用户除了打开恶意电子邮件之外什么都不做时,它可能会从一个用户传播到另一个用户。这样的蠕虫可以通过包含一个脚本来工作,该脚本向受害者联系人列表中的每个iCloud.com或mac.com地址发送类似的电子邮件。

在为Apple杰出教育人员保留的站点中,另一个漏洞是当有人提交包含用户名、姓氏、电子邮件地址和雇主的申请时,该网站分配了默认密码-“#无效#%!3”(不包括引号)。

库里写道:“如果有人申请使用这个系统,并且存在可以手动认证的功能,你只需使用默认密码登录他们的账户,就可以完全绕过‘用苹果登录’的登录方式。”

最终,黑客能够使用暴力手段预测一个名为“erb”的用户,并据此手动登录到该用户的帐户。黑客随后登录了其他几个用户账户,其中一个拥有网络的“核心管理员”特权。下图显示了他们看到的Jive控制台,用于运行在线论坛。

通过控制接口,黑客可以在控制ade.apple.com子域的Web服务器上执行任意命令,并访问存储用户帐户凭据的内部LDAP服务。有了这一点,他们就可以访问苹果剩余的大部分内部网络。

总而言之,库里的团队发现并报告了55个漏洞,其严重程度分别为11个严重、29个高、13个中等和2个低。名单和他们被发现的日期列在库里的博客文章中,上面链接了这篇文章。

正如上面的列表所表明的那样,这里详细描述的黑客攻击只是库里和他的团队能够实施的一长串黑客攻击中的两起。他们在苹果的漏洞赏金计划下表演了这些节目。库里的帖子说,苹果总共支付了51500美元,以换取与四个漏洞有关的私人报告。

就在我报道和撰写这篇文章的过程中,库里说他收到了一封来自苹果的电子邮件,通知他公司将为其他28个漏洞额外支付23.7万美元。

“我对这封电子邮件的回复是:‘哇!我现在处于一种奇怪的震惊状态,‘“库里告诉我。“我从来没有一次拿到这么多钱。我们组里的每个人都还有点抓狂。“。

他说,他预计一旦苹果消化了所有的报告,总支出可能会超过50万美元。

在苹果,我们警惕地保护我们的网络,并拥有专门的信息安全专业团队,致力于检测和应对威胁。一旦研究人员提醒我们他们在报告中详细说明的问题,我们立即修复漏洞并采取措施防止未来出现此类问题。根据我们的日志,研究人员最先发现了这些漏洞,因此我们确信没有用户数据被滥用。我们重视与安全研究人员的合作,帮助确保我们用户的安全,并感谢团队的帮助,并将从Apple Security Bounty计划中奖励他们。

这就是为什么安全研究人员的权利需要得到保护。出色的工作,尽管苹果不是我的最爱,但他们的反应值得称赞。