严重的Apple iCloud Bug允许自动盗窃照片

一群道德黑客破解了苹果的基础设施和系统，并在三个月的时间内发现了55个漏洞，其中许多漏洞使攻击者可以完全控制客户和员工的应用程序。

值得注意的是，一个关键的、可操控的iCloud账户接管漏洞将允许攻击者自动窃取受害者的所有文档、照片、视频等。

黑客Sam Curry，Brett Buerhaus，Ben Sadeghipour，Samuel Erb和Tanner Barnes的发现证明了该公司“庞大”基础架构的主要弱点，同时迄今为止为该团队赢得了近30万美元的回报，Curry在广泛的博客中写道发布详细的团队调查结果。

在苹果基础设施的核心部分发现的缺陷中，有一些可能使攻击者能够：“完全危害客户和员工应用程序；启动能够自动接管受害者iCloud账户的蠕虫；检索苹果内部项目的源代码；完全危害苹果使用的一个工业控制仓库软件；以及利用访问管理工具和敏感资源的能力来接管苹果员工的会话，”他写道。

在发现的55个漏洞中，11个被评为严重，29个被评为高危，13个被评为中危，两个被评为低危。库里说，研究人员根据CVSS漏洞-严重程度评级和“我们对业务相关影响的理解”对这些漏洞进行了评级。

据报道，易受蠕虫攻击的iCloud漏洞是一个跨站点脚本(XSS)问题。。iCloud是用于Apple产品的照片，视频，文档和与应用程序相关的数据的自动存储机制。此外，该平台还提供邮件和查找我的iPhone等服务。

“邮件服务是一个完整的电子邮件平台，用户可以在其中发送和接收类似于Gmail和Yahoo的电子邮件，” Curry解释说。“此外，iOS和Mac上都有一个邮件应用程序，默认情况下会在产品上安装该应用程序。邮件服务与文件和文档存储等所有其他服务一起托管在www.icloud.com上。”

他补充说：“从攻击者的角度来看，这意味着任何跨站点脚本漏洞都将允许攻击者从iCloud服务中检索他们想要的任何信息。”

他在寻找了一段时间后发现了这样的漏洞：“当电子邮件中有两个样式标签时，样式标签的内容将被连接在一起成为一个样式标签，”他说。“这意味着，如果我们可以将'</ sty'放入第一个标签，并将'le>'放入第二个标签，则有可能欺骗应用程序，使我们认为我们的标签在实际上不是打开的时候仍然处于打开状态。”

该团队最终创建一个概念证明，它演示了窃取受害者所有个人iCloud信息(照片、日历信息和文档)的代码，然后将相同的漏洞转发给他们的所有联系人。

网络安全公司ImmuniWeb的创始人兼首席执行官伊利亚·科洛琴科(Ilia Kolochenko)表示，赏金猎人的成功应该是一个警钟。

他通过电子邮件表示：“不幸的是，不能保证这些漏洞没有被复杂的威胁行为者利用来悄悄地危害VIP受害者。”“更糟糕的是，可能还有更多类似的漏洞未被发现，黑客集团可能会利用这些漏洞获利。现代的Web应用程序为拥有最关键信息的公司网络打开了一扇门，它们的泄露对公司而言可能是致命的。”

苹果回应和30万美元。
苹果方面对漏洞报告做出了快速响应，在发布该漏洞报告之时便已修复了大多数漏洞，典型的补救措施是在一到两个工作日内得知缺陷后进行补救，并在短短四到六个小时内对一些关键漏洞做出回应。

“总的来说，苹果公司对我们的报告非常敏感，”库里说，并补充说，“截至10月8日，我们已针对各种漏洞共收到32笔付款，总计288,500美元。” 他说，这个数字可能会更高，因为苹果倾向于分批付款。因此，黑客预计在未来几个月内将有更多付款。

苹果的公开漏洞赏金计划-所有感兴趣的各方都可以参与-是一个相当新的事件。在受到开发人员多年的批评后，该公司去年12月向公众开放了一个历史上私人的项目。开发人员认为，该公司需要对其硬件和软件中的缺陷更加透明。它还包括100万美元的最高派息，以增加交易的甜头。

事实上，自称全职漏洞赏金猎人的库里表示，在Twitter上得知一名研究人员因发现允许任意访问任何苹果客户账户的身份验证绕过而获得10万美元奖励后，他受到启发，召集黑客团队窥探苹果基础设施的内部。

他写道：“这让我感到惊讶，因为我之前了解到，苹果的漏洞赏金计划只奖励影响他们实体产品的安全漏洞，而不会为影响他们web资产的问题支付费用。”

他说，一旦他发现苹果愿意为“对用户产生重大影响”的漏洞买单，无论资产是否明确列出在范围内，这都是一场游戏。

“这吸引了我的注意力，因为这是一个有趣的机会，可以研究一个看起来范围广泛且有趣的新程序，” Curry在帖子中写道。他决定邀请过去与他一起工作过的黑客，尽管船上的每个人都知道并不能保证他们的发现能得到回报。

该团队在他们的工作中发现的关键漏洞如下：通过身份验证和授权绕过对Apple杰出教育者计划的完全危害；通过身份验证绕过对DELMIA Apriso应用程序的完全危害；存在漏洞的存储跨站点脚本漏洞允许攻击者通过修改后的电子邮件窃取iCloud数据；在作者的ePublisher中插入命令；iCloud上的完全响应SSRF允许攻击者检索Apple源代码；Nova管理员调试面板通过REST错误泄漏访问；通过PhantomJS iTune横幅和图书标题XSS访问AWS密钥；Apple esign上的堆转储允许攻击者危害各种外部员工管理工具；Java API管理上的XML外部实体处理；Blind SSRF on Java API Management；GBI Vertica SQL注入和暴露的GSF API；各种IDOR漏洞；以及各种盲XSS漏洞。

库里说，黑客获得了苹果安全团队的许可，可以发布关键漏洞的细节，所有这些漏洞都已经修复并重新测试。

根据Kolochenko的说法，这些发现是一个令人震惊的提醒，即使是最大的科技公司也大大低估了他们的网络应用程序安全。

他说：“大多数组织只是投资于一些自动扫描工具和经常性渗透测试，而没有实施全面的应用安全计划。”“这样的计划应包括对软件开发人员的定期安全编码培训，引入旨在开发早期阶段检测漏洞的安全控制-所谓的‘左移’方法-并为第三方开发的软件提供严格的安全指南。最后，现代软件应在设计上纳入隐私，以使其能够无缝地遵守CCPA或GDRP等规定。“