社区编辑申请
注册/登录
说好的230万呢?印度黑客找到iCloud致命漏洞,苹果用11万打发了
安全
如果你找到了一个苹果的致命漏洞,原本可以获得230万人民币的赏金,苹果却只给了11万,你会是什么一种感受?

如果你找到了一个苹果的致命漏洞,原本可以获得230万人民币的赏金,苹果却只给了11万,你会是什么一种感受?

近日,一名名叫Laxman Muthiyah的印度程序员发文称,他成功找到了iCloud账户的一个致命漏洞,提交给苹果公司后,原先可获得35万美元的赏金,变成了1.8万美元。十分气愤的他拒收了赏金,并表示“苹果的漏洞奖赏机制太不公开透明了,我宁愿免费分享我的研究。”

事情的经过到底是怎样的?

发现iCloud致命漏洞

Laxman Muthiyah是一名来自印度的白帽黑客。

这里稍微科普一下,白帽黑客指的是站在黑客的角度攻击系统,进行安全漏洞排查的程序员。

一直以来Laxman Muthiyah致力于帮助各大平台寻找漏洞,并以此获得赏金。

今年3月4日,他因为发现了微软账户中容易被劫持的漏洞,而获得微软5万美元的奖赏。

这并不是他发现的第一个漏洞。早之前,他发现了instagram账户中的一个漏洞。这个漏洞可以在账户所有者未经许可的情况下,入侵任何账户。Muthiyah将漏洞提交给了Facebook,因此他获得了3万美元的赏金。

Muthiyah因发现漏洞而获奖的事情,还有很多。

去年,他想测试一下iCloud账户是否存在安全漏洞。

经过不懈地努力,他真的发现了一个安全问题:黑客可以利用Apple ID找回密码这个功能,成功入侵任何一个iCloud账户。

他是怎么做到的呢?

我们得从Apple ID找回密码这个功能说起。

如果你想要修改苹果账户的密码,往往需要用手机或者邮箱接收一个6位数的验证码。

在不知道验证码的情况下,如果想要暴力破解几乎不可能,6位数的验证码有100万种可能性,而且苹果还设置了规则,如果连续输入验证码错误5次,账户会被锁定。

似乎在这样的机制下,黑客只能盲猜验证码去修改密码,拿到账户控制权了。

但技术高超的Muthiyah使用了黑客手段,轻松地破解了iCloud账户。

具体方法是这样的,首先他尝试向Apple服务器发送大量的POST请求。

几经尝试,他发现如果发送超过6个POST请求,IP便会被拉黑,之后再发送POST请求,就会出现503错误。

他还发现,在“忘记密码”页面一共出现了6个IP地址。也就是说,单个IP地址跨6个Apple服务器地址的话,就可以发送36个请求。

简单计算一下,找到正确的验证码,大概需要28000个IP地址。

看起来好像还是很难,但IP地址从来都不会成为黑客们的阻碍。

通过使用28000个IP地址,对验证码进行尝试,Muthiyah真的破解了iCloud账户的密码!

黑客可以轻易拿到任何一个账户的密码,意味着其中的所有信息,都将泄露,这是一个非常致命的安全漏洞!

Muthiyah成功破解后非常兴奋,立马将这一漏洞提交给了Apple安全团队。

赏金缩水95%

根据Apple官网上显示的关于找到漏洞的悬赏规则,如果有人找出涉及iCloud账户的漏洞,赏金可以高达10万美元,如果找到上锁Apple设备上提取用户数据的漏洞,可以获得25万美元赏金。

Muthiyah发现的这一漏洞,将为他带来35万美元的收入。

但事情并没有朝他想的那样发展。

起先Apple团队很积极地恢复了Muthiyah所提到的漏洞。

结果Apple好像开始磨起洋工。不仅没有支付相关的赏金,甚至连这一致命漏洞都没有修复,Muthiyah不断地联系,时隔10个月后,Apple才将这个漏洞的补丁发布到生产环境中,但Apple还是没更新。

Muthiyah实在忍无可忍,他直接给Apple团队写了一封邮件,表示将在自己的博客上公布这一漏洞。

Apple还非常友善地表示,发布之前可以先将稿子发来看看。

当Apple技术团队看完稿子后,完全否认了他的看法,认为这个漏洞并不致命,只有非Apple设备上的iCloud账户才会遭到攻击,绝大部分用户是不会受到影响的。

Muthiyah感到非常失望,于是他不管Apple是否同意,一定要将这一漏洞发布在自己的博客上。

这时Apple团队给他发来了一封悬赏邮件,邮件里肯定了他的行为,但也表示,只能支付给他1.8万美元,合约11万人民币的奖励。

对于苹果的做法,Muthiyah简直要气炸了,十分干脆地拒绝了这笔奖赏。

对于这一次的经历,Muthiyah表示希望苹果的安全团队,更更加公开、透明地让白帽黑客们,了解发现漏洞具体的赏金金额。

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2022-06-20 22:37:25

Linux操作系统命令

2022-06-15 08:21:49

Linux运维工程师

2022-06-07 10:09:42

新技术人工智能5G

2022-06-16 07:32:38

VSCodePython插件

2022-06-30 09:07:52

2022-06-19 14:40:05

密码iCloudApple

2022-06-25 21:22:30

编程Rust代码

2022-06-30 11:03:27

DDoS攻击WAF

2022-06-02 07:13:12

Python3.11编程语言

2022-06-15 14:40:54

英特尔漏洞

2022-06-29 14:46:00

网络攻击数据泄露勒索软件

2022-06-24 10:16:59

Python精选库

2022-06-15 09:15:35

​CloudflarHTTPS DDoS攻击

2022-06-20 08:58:25

Obsidian笔记工具

2022-06-24 14:07:06

机器人供应链人工智能

2022-06-16 16:12:57

网络资产攻击面管理CAASM

2022-06-14 16:55:25

互联网移动应用出海

2022-06-24 11:34:38

云计算应用安全

2022-06-07 11:01:56

人工智能AI技术大会

2022-06-16 11:33:57

物联网区块链科技

同话题下的热门内容

超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护都怪二维码,造就了网友们的社死现场...2022年上半年五大勒索软件攻击事件谁家的加密密钥,写死在代码里?就因为QQ登录二维码,全网发生了大规模的社死黑客组织对印度政府发动了网络攻击如何最大限度提升智能建筑中的网络安全?监管机构禁令频发,谷歌将被禁止追踪数百万用户数据

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号