根据本周的一篇博客文章,一群黑客花了数月时间瞄准Apple庞大的在线基础设施,发现了一系列漏洞,其中包括一些允许黑客窃取用户iCloud帐户的漏洞。文件中的漏洞。不过,与进行破坏的黑客不同,这些黑客以“白帽子”的身份运作,这意味着他们的目标是提醒Apple,而不是窃取信息。黑客团队由20岁的SamCurry领导,其他研究人员包括:BrettBuerhaus、BenSadeghipour、SamuelErb和TannerBarnes。SamCurry说他和他的团队一共发现了55个漏洞。其中11个被标记为“高风险”,因为它们允许他控制苹果的核心基础设施并从那里窃取私人电子邮件、iCloud数据和其他私人信息。这11个高危漏洞是:通过授权和身份验证绕过远程代码执行通过错误配置的权限绕过身份验证,允许全局管理员访问通过未过滤的文件名参数进行命令注入管理员工具执行远程代码内存泄漏泄漏员工和用户帐户,允许访问各种内部应用程序通过未过滤输入参数的VerticaSQL注入可修复存储XSS允许攻击者完全破坏受害者iCloud帐户(1)可修复存储XSS允许攻击者完全破坏受害者iCloud帐户(2)完全响应式SSRF允许攻击者读取内部源代码并访问受保护资源BlindXSS允许攻击者访问内部支持门户以跟踪客户和员工问题服务器端PhantomJS执行允许攻击者访问内部资源并检索AWSIAM密钥在发布一篇名为《我们入侵苹果3个月:以下是我们发现的漏洞》的9,200字文章后数小时,Currysaid在一次在线聊天中,“如果这些问题是攻击者利用Apple的大量披露和完整性损失,例如通过访问用于管理用户信息的内部工具,以及改变周围系统以按照黑客的意图工作,”该团队成立。www.iCloud.com中最严重的漏洞风险是由www.iCloud.com服务器使用的JavaScript解析器中存储的跨站点脚本漏洞(通常简称为XSS)引起的。该漏洞允许黑客构建一种蠕虫病毒,该蠕虫病毒会在感染联系人的iCloud帐户之前窃取用户的iCloud文件。由于iCloud服务于AppleMail,白帽黑客在向包含恶意代码的iCloud.com电子邮件地址发送电子邮件后,能够破坏iCloud帐户。只需打开一封电子邮件即可攻击目标。一旦发生这种情况,隐藏在恶意电子邮件中的脚本允许黑客执行目标在浏览器中访问iCloud时可能执行的任何操作。Curry说,存储的XSS漏洞是可修补的,这意味着只要打开恶意电子邮件,它就可以在用户之间传播。此类蠕虫的工作原理是包含一个脚本,该脚本向受害者联系人列表中的每个iCloud.com或Mac.com地址发送一条消息。在寻找漏洞的过程中,库里和他的团队无意中揭开了苹果在线基础设施规模的面纱。他们发现,Apple拥有超过25,000台网络服务器,属于Apple.com、iCloud.com以及7,000多个其他独特域。许多漏洞是通过搜索Apple拥有的晦涩Web服务器发现的,例如其杰出教育工作者网站。该网站为Apple的杰出教育工作者保留的另一个漏洞是,当有人提交包含用户名、姓氏、电子邮件地址和雇主的申请时,它会分配一个默认密码——“无效”结果(“###INvALID#%!3”)。“如果有人使用这个系统申请,并且有一个允许手动验证的功能,你可以简单地使用默认密码登录他们的账户,完全绕过‘用苹果登录’登录方法,”库里写道。最终,黑客能够使用蛮力方法预测名为“erb”的用户并手动登录到该用户的帐户。黑客随后登录了其他几个用户帐户,其中一个帐户在网络上拥有“核心管理员”权限。通过控制界面,黑客可以控制ade.apple.com网站的子域并访问存储用户帐户凭据的内部LDAP服务。这将使他们能够访问Apple内部网络的大部分剩余内容。总体而言,Curry的团队发现并报告了55个漏洞,严重程度从11个严重、29个高、13个正常和2个低。这些列表及其发现日期列在Curry的博客文章中。在Curry报告漏洞并提出建议后的数小时内,Apple迅速修复了这些漏洞。截至目前,Apple已经解决了大约一半的漏洞,并承诺支付288,500美元。Curry说,一旦Apple解决了剩余的漏洞,他们的支出总额可能超过500,000美元。对此,Apple发表声明如下:在Apple,我们将警惕地保护我们的网络,并拥有一支由信息安全专业人员组成的专门团队,致力于检测和应对威胁。一旦研究人员提醒我们注意他们报告中详述的问题,我们将立即修复漏洞并采取措施防止未来出现此类问题。根据我们的日志,研究人员是第一个发现该漏洞的人,因此我们确信没有用户数据被滥用。我们重视与安全研究人员的合作,以帮助确保我们的用户安全,并感谢团队的协助,公司将从Apple的网络安全赏金计划中奖励这些协助。
