当前位置:安全资讯 >> 全文

苹果公司被曝压下神秘的 iCloud 隐私泄漏bug

发布时间:2019-1-31 12:21 标签: 苹果,iCloud,漏洞
分享到 0

去年年末,苹果 iCloud 用户数据或遭泄漏,但苹果公司却选择沉默,原因何在?

上周,土耳其安全研究员 Melih Sevim 声称在苹果服务中发现了一个漏洞。只需知道用户的关联电话号码,就可利用该漏洞从随机 iCloud 账户或目标 iCloud 用户查看部分数据尤其是备注。

Melih 证实称,他在201810月发现了这个漏洞,随后负责任地报告给苹果的安全漏洞,还随附了漏洞复现步骤和视频演示,说明了自己如何能够从其它苹果用户读取个人 iCloud 数据,而用户对此毫无察觉。

Melih指出,“我发现,当用户和苹果服务器之间存在活跃数据传输时,如果我打开自己(攻击者)的 iCloud 账户,那么就可能在每次刷新时查看部分随机数据。”

201811月修复该漏洞后,苹果向 Melih 证实问题存在,但表示苹果在收到他发来的详情前就已经将其修复。随后苹果对此再无任何回应。

一个神秘的iCloud bug

Melih 的解释来看,这个 bug 存在于苹果“内部”有意或无意地将 Apple ID 账单信息中保存的电话号码连接到使用相同电话号码的设备上的 iCloud 账户的方式。

      Melih 指出,他在 iPhone 上执行了一些特定的步骤,然后在设备账单信息相关设置中保存了与另外一个 Apple ID 相关联的新电话号码后,他能够从与该号码相关联的账户中查看部分 iCloud 数据。

Melih 表示,“我们假设 abc@icloud.com 的手机号码是12345,如果我将12345输入我的 xyz@icloud.comApple ID 账户中,那么我就能在 xyz 账户上的 abc 数据。在研究过程中,我看到了很多其它苹果用户在 iCloud 中记录的银行账户相关信息以及密码。”

由于这个缺陷存在于通过互联网实时从苹果服务器中加载信息的 iOS设备的 iCloud 设置中,苹果团队在后台悄悄修复,而未发布 iOS 更新。

如果 Melih 的报告是准确的话,如下的内容更加严重。

Melih 证实称,要求用户输入电话号码的文本框未验证用户输入,因此攻击者甚至能保存单个数字输入。按照 Melih 分享的演示来看,这种方法最终利用这个缺陷从随机的输入数字匹配关联电话号码的 iCloud 账户中提取了个人信息。

苹果证实问题存在,但……

为了证实 Melih 漏洞的存在并了解事件的全部过程,本文作者和苹果安全团队进行求证。

苹果公司表示确实收到了一份漏洞报告,表示“问题已在11月份得到修复”,但并未就其他重要问题进行回应,包括漏洞存在了多久,受影响用户的大概数量(如有),以及是否存在遭恶意滥用的证据等。

虽然这种回应很奇怪,但也并不新鲜。

就在昨天,苹果临时禁用 FaceTime 群聊服务,因为几天前该服务被曝可导致用户在其它用户接听前监听或监视其它用户。随后事实证明,一名14岁的男孩在一周前报告了这个漏洞,但苹果安全团队再次未能正确做出回应,导致数百万用户毫不知情且处于风险之中。

如果说 iCloud 疑似泄漏事件影响不大,那么苹果公司大可不必遮遮掩掩,否则导致事件更加蹊跷可疑。

我们将持续关注事态进展。

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://thehackernews.com/2019/01/icloud-privacy-breach.html
参与讨论,请先 登录 | 注册

用户评论