如果你找到了一个苹果的致命漏洞,原本可以获得230万人民币的赏金,苹果却只给了11万,你会是什么一种感受?
近日,一名名叫Laxman Muthiyah的印度程序员发文称,他成功找到了iCloud账户的一个致命漏洞,提交给苹果公司后,原先可获得35万美元的赏金,变成了1.8万美元。十分气愤的他拒收了赏金,并表示“苹果的漏洞奖赏机制太不公开透明了,我宁愿免费分享我的研究。”
事情的经过到底是怎样的?
发现iCloud致命漏洞
Laxman Muthiyah是一名来自印度的白帽黑客。
这里稍微科普一下,白帽黑客指的是站在黑客的角度攻击系统,进行安全漏洞排查的程序员。
一直以来Laxman Muthiyah致力于帮助各大平台寻找漏洞,并以此获得赏金。
今年3月4日,他因为发现了微软账户中容易被劫持的漏洞,而获得微软5万美元的奖赏。
这并不是他发现的第一个漏洞。早之前,他发现了instagram账户中的一个漏洞。这个漏洞可以在账户所有者未经许可的情况下,入侵任何账户。Muthiyah将漏洞提交给了Facebook,因此他获得了3万美元的赏金。
Muthiyah因发现漏洞而获奖的事情,还有很多。
去年,他想测试一下iCloud账户是否存在安全漏洞。
经过不懈地努力,他真的发现了一个安全问题:黑客可以利用Apple ID找回密码这个功能,成功入侵任何一个iCloud账户。
他是怎么做到的呢?
我们得从Apple ID找回密码这个功能说起。
如果你想要修改苹果账户的密码,往往需要用手机或者邮箱接收一个6位数的验证码。
在不知道验证码的情况下,如果想要暴力破解几乎不可能,6位数的验证码有100万种可能性,而且苹果还设置了规则,如果连续输入验证码错误5次,账户会被锁定。
似乎在这样的机制下,黑客只能盲猜验证码去修改密码,拿到账户控制权了。
但技术高超的Muthiyah使用了黑客手段,轻松地破解了iCloud账户。
具体方法是这样的,首先他尝试向Apple服务器发送大量的POST请求。
几经尝试,他发现如果发送超过6个POST请求,IP便会被拉黑,之后再发送POST请求,就会出现503错误。
他还发现,在“忘记密码”页面一共出现了6个IP地址。也就是说,单个IP地址跨6个Apple服务器地址的话,就可以发送36个请求。
简单计算一下,找到正确的验证码,大概需要28000个IP地址。
看起来好像还是很难,但IP地址从来都不会成为黑客们的阻碍。
通过使用28000个IP地址,对验证码进行尝试,Muthiyah真的破解了iCloud账户的密码!
黑客可以轻易拿到任何一个账户的密码,意味着其中的所有信息,都将泄露,这是一个非常致命的安全漏洞!
Muthiyah成功破解后非常兴奋,立马将这一漏洞提交给了Apple安全团队。
赏金缩水95%
根据Apple官网上显示的关于找到漏洞的悬赏规则,如果有人找出涉及iCloud账户的漏洞,赏金可以高达10万美元,如果找到上锁Apple设备上提取用户数据的漏洞,可以获得25万美元赏金。
Muthiyah发现的这一漏洞,将为他带来35万美元的收入。
但事情并没有朝他想的那样发展。
起先Apple团队很积极地恢复了Muthiyah所提到的漏洞。
结果Apple好像开始磨起洋工。不仅没有支付相关的赏金,甚至连这一致命漏洞都没有修复,Muthiyah不断地联系,时隔10个月后,Apple才将这个漏洞的补丁发布到生产环境中,但Apple还是没更新。
Muthiyah实在忍无可忍,他直接给Apple团队写了一封邮件,表示将在自己的博客上公布这一漏洞。
Apple还非常友善地表示,发布之前可以先将稿子发来看看。
当Apple技术团队看完稿子后,完全否认了他的看法,认为这个漏洞并不致命,只有非Apple设备上的iCloud账户才会遭到攻击,绝大部分用户是不会受到影响的。
Muthiyah感到非常失望,于是他不管Apple是否同意,一定要将这一漏洞发布在自己的博客上。
这时Apple团队给他发来了一封悬赏邮件,邮件里肯定了他的行为,但也表示,只能支付给他1.8万美元,合约11万人民币的奖励。
对于苹果的做法,Muthiyah简直要气炸了,十分干脆地拒绝了这笔奖赏。
对于这一次的经历,Muthiyah表示希望苹果的安全团队,更更加公开、透明地让白帽黑客们,了解发现漏洞具体的赏金金额。
