Исследователь
Лаксман Муфия специализируется на поиске уязвимостей в механизмах проверки пароля различных сервисов, которые позволяют злоумышленникам получить доступ к аккаунту пользователя.
В марте мы
писали про выявленную им дырку в алгоритме сброса пароля от учетной записи
Microsoft, за открытие которой он получил от мелкомягких 50 тыс. долларов bug bounty.
Вчера он опубликовал
результаты своего нового исследования, посвященного уязвимости в механизме восстановления пароля
iCloud.
При восстановлении пароля пользователь должен ввести 6-значный код подтверждения, который приходит на телефон или на адрес электронной почты.
Apple ограничивает количество запросов с одного IP-адреса 6 штуками. Но iforgot .apple .com имеет, в свою очередь, 6 IP-адресов. Таким образом, можно отправить одновременно 6 запросов с одного IP-адреса, ограничения это позволяют.
Подобрав все эти люфты
Муфия пришел к тому, что ему понадобится 28 тысяч IP-адресов, для того, чтобы гарантировано подобрать 6-значный код и успешно сменить пароль.
Apple внесли в черный список основных поставщиков облачных услуг, но исследователь смог найти несколько рабочих сервисов.
Таким образом,
Муфия успешно обошел сначала 6-значный код SMS, а потом 6-значный код, полученный на электронную почту. Методика обхода была абсолютно идентична. Не помогла бы даже 2FA аутентификация, поскольку она имела ровно те же ошибки.
Об уязвимости исследователь сообщил в
Apple 1 июля 2020 года.
Apple поблагодарили и... забили (вот это поворот!) В результате, они устранили уязвимость только в начале апреля 2021 года, а
Муфии написали, что все фигня кроме пчел, а зимой и пчелы фигня. И вообще это не баг, а фича, и она работала только с учетными записями
iCloud, которые использовались только на устройствах
Apple, не защищенных паролем.
Тогда
Муфия закусил удила, стал копать дальше и пришел к выводу, что закрытая уязвимость позволяла не только захватить учетную запись
iCloud, но и позволила бы взломать любой
iPhone или
iPad с 4 или 6-значным passcode (там все немного сложнее, но в формат поста это бы не влезло, можно почитать в первоисточнике).
В конце концов
Apple "расщедрились" на 18 тыс. долларов bug bounty, хотя должны были по своим собственным правилам заплатить
Муфии 350 тыс. $. Исследователь обиделся и, поскольку уязвимость уже закрыта, решил выкинуть всю инфу на публику.
Как известно, кроилово приводит к попадалову - совершая такие странные поступки со своей программой bug bounty
Apple безусловно подрывает информационную безопасность собственных продуктов. Потому что в следующий раз более беспринципный и жадный исследователь, зная о жлобстве
Apple, просто продаст эксплойт в даркнете и получит намного больше 18 тыс. долларов. Ну а мы с вами будем страдать от эксплуатируемых в дикой природе дырок в
iPhone, потому что какие-то менеджеры компании с годовым оборотом в 275 млрд. долларов зажали 300 тысяч.
