[[407334]]

本文經AI新媒體量子位（公眾號ID:QbitAI）授權轉載，轉載請聯系出處。

好不容易找出iCloud賬戶漏洞，但他竟然拒收蘋果1.8萬美元獎金！

最近，這件事在Hacker News上引起大批網友圍觀。

本來程序員找出漏洞、提交報告、獲得相應公司給予的獎金，這是極其平常的事情。

怎么還會有人拒絕獎金呢？

對此，這位小哥回應說：

因為蘋果的做法太不公開透明了，我寧愿免費分享我的研究。

這實在是令人嘩然啊。

這不禁讓人好奇，蘋果到底做了什么事竟會引得小哥如此憤怒？

28000個IP地址破解iCloud賬戶

Laxman Muthiyah是一位來自印度的白帽黑客。

白帽黑客：指站在黑客的立場攻擊自己的系統以進行安全漏洞排查的程序員。

一直以來他都在關注各種平臺的賬戶是否存在安全漏洞。

就在去年，他想測試一下iCloud賬戶是否安全。

然而這一測，就測出來問題了：

他發現利用Apple ID找回密碼的機制，能夠成功入侵任意一個iCloud賬戶。

這是怎么做到的呢？

要知道，蘋果在2014年iCloud賬戶泄露私密照事件后，就添加了雙因素身份認證功能。

如果想要更改密碼，往往要用已綁定的手機號或郵箱來接收一個6位的驗證碼。

如果想要在不知道特定驗證碼的情況下，通過排列組合試出正確的6位驗證碼。

大約有100萬種可能。

而且你不可能通過這樣的嘗試試對一個驗證碼。

因為當你連續5次輸入錯誤的驗證碼后，賬戶就會被鎖住幾個小時，即使更換IP也沒有用。

從常規操作看，蘋果的機制真的非常安全。

但是這位小哥用黑客手段試了試，結果就不一樣了……

他首先嘗試向Apple服務器同時發送大量的POST請求。

結果發現，如果同時發送6個以上的POST請求，IP地址就會被Apple服務器拉黑。之后再發送POST請求，就會出現503錯誤。

我們計劃在下一步的安全系統更新中解決這個問題。

無論是試了5次驗證碼被鎖、還是6次以上POST請求后被拉黑，這些都是在同一個IP地址下進行的。

如果換一換IP地址呢？

如果用單個IP地址跨6個Apple服務器地址，就可以發送36個請求。

按照6位驗證碼的100萬種可能，想要試出正確答案，需要28000個IP地址。

這個數字看上去很多，但是如果使用云服務提供商的話，事情就so easy了。

小哥先嘗試用了AWS、谷歌云等服務商，結果發現Apple把他們都拉黑了。

但他還沒放棄，又換了一家不知名的云服務商試試看。

結果，入侵成功了！

也就是說，用這種暴力破解的方式，可以更改任意一個iCloud賬戶的密碼！

1.8w賞金？我不要了

發現了這樣的漏洞后，程序員小哥趕緊向Apple安全團隊報告了詳細的演示過程。

一開始，Apple的態度非常友好，不到1個小時就給出了積極的回應。

他們表示，的確存在這樣的問題，目前已經對漏洞進行分類。

有了這樣的反饋，Laxman也就放心了，靜靜等待Apple修復這個漏洞。

結果，Apple似乎和犯了拖延癥一樣，幾個月過去了，毫無更新的跡象。

這樣嚴重的漏洞，卻遲遲不修復，小哥對此表示非常不理解，于是他跑去質問Apple團隊。

結果他們“氣定神閑”地回應道：

我們計劃在下一步的安全系統更新中解決這個問題。

雖然很慢，但是好在這件事Apple確實還在推進ing。

終于在時隔近10個后，今年4月1日，這個漏洞的補丁發布到生產環境中了，但Apple還是沒更新。

這種擠牙膏行為，讓Laxman實在忍無可忍了。

他想把漏洞問題盡快發布出來，就去聯系Apple說，想要把報告發布到自己的博客中。

Apple表示，發之前可以給他們看一下草稿嗎？

然后，事情從這就開始變得不對勁了。

在看到小哥的草稿后，Apple居然完全否認了他的說法。

他們表示，這個漏洞并不會影響絕大部分用戶，僅僅是非Apple設備上的iCloud賬戶才有可能被攻擊。

而在Laxman博客中表示，絕對不是這樣的！

他還發現，Apple不知道什么時候默默更改了支持中心頁面中關于忘記密碼的一些內容。

在2020年10月份時，Apple的支持中心頁面長這樣：

現在，它增加了“in some cases”的限定條件。

對于這個情況，小哥去質問Apple官方怎么回事。

官方回應說，這個更改其實是和iOS 14有關。

受信任的電話號碼、郵箱和iOS 14能有什么關系？？？？

這不就是明知有漏洞，但是卻不打算公開、只想模糊問題不了了之嗎？

看到蘋果這樣的態度，Laxman真的非常失望，他打算不管Apple官方是否批準，自己都要發布這篇博客了。

此時，Apple團隊又安排了一個工程師和他通話，來解釋為什么他們在支持中心上的改動和小哥發現的漏洞無關。

在和工程師溝通后，小哥為了論證他的說法，又做了一系列的測試。

當他再次用同樣的方式入侵賬戶時，結果卻完全不一樣了！

同時發送30次請求測試時，發現其中有29個請求被拒絕了。

對于這樣的結果，小哥更加懷疑：

如果Apple安全團隊在他報告漏洞后進行了修補，那可能一開始的漏洞比他想象的還要嚴重。

可能不僅可以入侵任何一個iCloud賬戶，而且還能發現與其關聯的Apple設備密碼。

[[407337]]

之后，小哥又收到了Apple的懸賞郵件。

但是這個結果卻讓人有些哭笑不得。

在Apple官網上，涉及到iCloud賬戶入侵漏洞的實際賞金高達10w美元，找出從上鎖Apple設備上提取用戶數據的漏洞賞金有25w美元。

小哥認為自己報告的漏洞涵蓋了這兩種情況，應該得到35w美元的獎勵。

然而在郵件中，他的獎金只有1.8w元。

先不說錢不錢的事情，蘋果這一系列做法真的非常不公開透明。

而且，當他想再和蘋果安全團隊溝通這個問題時，所有的郵件都石沉大海了。

面對蘋果這樣的態度，Laxman干脆一不做二不休，拒絕了Apple的獎金，免費和蘋果分享了自己的研究。

網友：Apple貶低了小哥所做的一切

果然，Laxman在網上發布事情的經過后，立刻引起了許多人的關注。

網友們幾乎一邊倒指責Apple團隊的做法。

他們用這樣的方法，只用一點錢來獎勵程序員，這貶低了他對此做出的貢獻。

大家也非常心疼這位小哥，認為他遠遠不止應該得到這么一點錢。

雖然1.8w也很多了，但是我認為他的工作至少值得10w美元。

更重要的是，這件事暴露了蘋果的安全部門態度非常有問題。

為什么安全部門如此不友好？

我覺得每個披露漏洞的博文都是這種形式：沒有回復 - 延遲回復 - 模糊回復 - 淡化漏洞 - 減少賞金。

他們把白帽黑客當做是一種風險，而不是和他們合作。

事實上，白帽黑客應該是安全部門最好的伙伴啊。

也有網友表示，蘋果這樣含糊其辭，可能是怕發布了漏洞后影響自己的股價吧。

不要忘記這會帶來的商業影響……

但這并不是是Laxman第一次提交漏洞報告。

此前他發現Facebook、Instagram、Microsoft賬戶也存在類似的安全隱患。

在和相應的團隊取得聯系后，他們的態度可以說是和蘋果截然不同

Facebook和Microsoft對小哥做的工作都表示了感謝，而且也給予了豐厚的獎勵。

對于這一次的經歷，Laxman由衷地希望蘋果安全團隊能在未來更加公開、透明。

而且一再強調以上漏洞已經被修復，并感謝了蘋果的修復工作。