拒绝苹果超10万元悬赏!程序员大哥指出苹果不够公开透明。好不容易找到了iCloud账户漏洞,却拒绝接受苹果18000美元的奖金!近日,这件事在HackerNews上吸引了大量网友围观。本来,程序员找漏洞,提交报告,拿相应公司的奖金是一件极其平常的事情。怎么会有人拒绝奖金?对此,小哥回应:因为苹果的做法太不透明太透明了,我宁愿免费分享我的研究。这真是闹得沸沸扬扬。这不禁让人疑惑,苹果做了什么让小哥如此生气?28,000个IP地址破解iCloud帐户LaxmanMuthiyah是来自印度的白帽黑客。白帽黑客:是指程序员站在黑客的角度攻击自己的系统,排查安全漏洞。他一直在关注各个平台的账户是否存在安全漏洞。就在去年,他想测试自己iCloud账户的安全性。不过这次测试暴露了一个问题:他发现利用AppleID找回密码的机制可以成功黑进任何iCloud账户。这怎么可能?要知道,苹果在2014年iCloud账号泄露私密照片后,加入了双因素认证,如果要修改密码,往往需要使用绑定的手机号或邮箱接收6位验证码。如果您想在不知道具体验证码的情况下,通过排列组合的方式尝试出正确的6位验证码。大约有100万种可能性。而且您不可能通过这种尝试来尝试验证码。因为当你连续5次输入错误的验证码后,账户就会被锁定几个小时,即使你换了IP也没有用。从常规操作来看,苹果的机制确实是非常安全的。但是这个小家伙尝试了hack,结果却不一样……他先是尝试向苹果服务器同时发送大量的POST请求。原来,如果同时发送超过6个POST请求,IP地址就会被苹果服务器屏蔽。发送POST请求后,会出现503错误。我们计划在下一次安全系统更新中解决这个问题。无论是尝试验证码5次后被锁定,还是POST请求超过6次后被屏蔽,这些都是在同一个IP地址下进行的。如果您更改IP地址怎么办?如果你在6个Apple服务器地址上使用一个IP地址,你可以发送36个请求。按照6位验证码的100万种可能,需要28000个IP地址才能试出正确答案。这个数字可能看起来很多,但如果你使用云服务提供商,事情就很简单了。小哥先是尝试使用AWS、GoogleCloud等服务商,结果发现苹果都屏蔽了。但他还没有放弃,尝试了另一家不知名的云服务商。结果,入侵成功了!也就是说,通过这种暴力破解的方法,你可以更改任何一个iCloud账户的密码!1.8w赏金?我不想。发现这样的漏洞后,程序员小哥赶紧将详细的演示过程汇报给苹果安全团队。一开始,苹果的态度非常友好,不到一个小时就给出了积极的回应。他们说,这样的问题确实存在,漏洞现在已经被分类。有了这样的反馈,拉克斯曼如释重负,静静等待苹果修复这个漏洞。结果,苹果公司似乎犯了拖延症,几个月过去了,没有任何更新的迹象。这么严重的漏洞已经很久没有修复了。小哥表示不解,于是去质问苹果团队。结果,他们“冷静”地回应:我们计划在下一次安全系统更新中解决这个问题。虽然很慢,但好在苹果确实还在推进这件事。终于,时隔近10个月,今年4月1日,针对该漏洞的补丁发布到生产环境,但苹果依然没有更新。这种挤牙膏的行为,让拉克斯曼着实受不了。他想尽快公布漏洞问题,于是他联系了苹果公司,表示要将报告公布在他的博客上。苹果说,你能不能先给他们看个草稿再发?然后,事情从那里开始出了问题。看到小弟的草稿后,苹果居然全盘否定了他的说法。他们表示,这个漏洞不会影响绝大多数用户,只有非苹果设备上的iCloud账户可能会受到损害。根据Laxman的博客,情况绝对不是这样!他还发现苹果在某个时候悄悄更改了一些关于忘记密码的支持中心页面。2020年10月,Apple的支持中心页面是这样的:现在,它添加了“在某些情况下”的限定条件。对于这种情况,小哥问苹果是怎么回事。官方回应称,这一变化其实与iOS14有关,请问可信电话号码、邮箱、iOS14有什么关系呢????这不是明明知道有漏洞,却不打算公开,只想把问题模糊化,放过吗?看到苹果的态度,拉克斯曼着实有些失望。他打算不管苹果官方是否批准,都要发布这个博客。这时,苹果团队安排了另一位工程师找他谈话,解释为什么他们在支持中心的改动与小哥发现的bug无关。与工程师沟通后,小哥做了一系列的测试来证明自己的说法。当他用同样的方法再次黑入账号时,结果却截然不同!同时发送30个请求测试时,发现有29个被拒绝。对于这样的结果,小弟更加怀疑了:如果苹果安全团队在他上报后修复了漏洞,那么漏洞可能比他一开始想象的还要严重。不仅可以侵入任何iCloud帐户,还可以发现与其关联的Apple设备密码。之后,我收到了苹果发来的奖励邮件。但是这个结果有点哭笑不得。在苹果官网上,iCloud账户入侵漏洞的实际赏金高达10万美元,寻找从锁定的苹果设备中提取用户数据的漏洞的赏金为25万美元。小哥认为,他所报告的漏洞涵盖了这两种情况,应该得到35万的奖励。然而邮件中,他的奖金只有1.8w元。先不说钱不钱,苹果的这一系列做法,实在是不公开透明。而且,当他试图再次与Apple的安全团队沟通这个问题时,所有的电子邮件都掉入了大海。面对苹果的态度,拉克斯曼索性不做任何事,拒绝了苹果的红利,将自己的研究成果无偿分享给苹果。网友:苹果贬低了小哥所做的一切。果然,拉克斯曼将事情的经过发布到网上后,顿时引起了很多人的关注。网友们几乎压倒性地将他们的行为归咎于苹果团队。这样他们只奖励程序员少量的钱,贬低了他对它的贡献。大家也都替这位小弟感到惋惜,觉得他活该远不止这么点钱。虽然1.8w很多,但我觉得他的作品至少值10万。更重要的是,这件事暴露了苹果安全部门非常有问题的态度。为什么安全如此不友好?我认为每一篇披露错误的博文都是以下形式:没有回复-延迟回复-模糊回复-淡化错误-减少赏金。他们将白帽黑客视为一种风险,而不是与他们合作。事实上,白帽黑客应该是安全部门最好的朋友。也有网友表示,苹果之所以如此含糊其辞,可能是担心漏洞发布后其股价会受到影响。不要忘记这对业务的影响……但这不是Laxman第一次提交漏洞报告。此前,他发现Facebook、Instagram和微软账户也存在类似的安全风险。在接触到相应的团队后,他们的态度可以说和苹果截然不同。Facebook和微软都对小哥的工作表示感谢,也给予了丰厚的奖励。△微软感谢信对于此次经历,拉克斯曼衷心希望苹果安全团队今后更加公开透明。并反复强调以上漏洞已经修复,感谢苹果的修复工作。
