如果你发现苹果的致命漏洞,你本可以得到230万元的赏金,但苹果只给了11万元,你会有什么感觉?
最近,一个名字叫Laxman Muthiyah印度程序员发帖称,他成功找到了它iCloud账户的致命漏洞提交给苹果后,原本可以获得35万美元的赏金,变成了1.8万美元。他非常生气,拒绝了赏金,并说“苹果的漏洞奖励机制太不公开透明了,我宁愿免费分享我的研究。”
发生了什么事?
发现iCloud致命漏洞
Laxman Muthiyah是印度的白帽黑客。
这里有一点科普,白帽黑客是指从黑客的角度攻击系统,调查安全漏洞的程序员。
一直以来Laxman Muthiyah致力于帮助各大平台找到漏洞,获得赏金。
今年3月4日,他获得微软5万美元奖励,因为他发现了微软账户中容易被劫持的漏洞。
这不是他发现的第一个漏洞。早些时候,他就发现了instagram账户中的一个漏洞。这个漏洞可以在账户所有者未经许可的情况下,入侵任何账户。Muthiyah提交漏洞Facebook,因此,他获得了3万美元的赏金。
Muthiyah还有很多事情是因为发现漏洞而获奖的。
去年,他想测试一下iCloud账户是否存在安全漏洞。
经过不懈的努力,他真的发现了一个安全问题:黑客可以使用它Apple ID找回密码的功能,成功入侵任何一个iCloud账户。
他是怎么做到的?
我们得从Apple ID从找回密码的功能开始。
要想修改苹果账户的密码,往往需要用手机或邮箱接收6位数的验证码。
在不知道验证码的情况下,几乎不可能暴力破解。6位数的验证码有100万种可能,苹果也制定了规则。如果连续输入验证码5次错误,账户将被锁定。
似乎在这种机制下,黑客只能盲目猜测验证码来修改密码,并获得账户控制权。
但是技术高超Muthiyah使用黑客手段,轻松破解iCloud账户。
具体方法是这样的。首先,他试图去Apple大量服务器发送POST请求。
经过几次尝试,他发现如果发送超过6个POST请求,IP会被拉黑,然后发送POST503错误会出现请求。
他还发现,在“忘记密码”共有6个页面IP地址。也就是说,单个IP地址跨6个Apple服务器地址的话,就可以发送36个请求。
简单计算一下,大约需要2.8万个验证码才能找到正确的验证码IP地址。
看起来还是很难,但是IP地址永远不会成为黑客的障碍。
通过使用28000个IP尝试验证码,地址,Muthiyah真的破解了iCloud账户密码!
黑客可以很容易地获得任何账户的密码,这意味着所有的信息都将被泄露,这是一个非常致命的安全漏洞!
Muthiyah成功破解后,我非常兴奋,立即提交了这个漏洞Apple安全团队。
赏金缩水95%
根据Apple如果官方网站上显示的关于发现漏洞的奖励规则,如果有人发现涉及的奖励规则iCloud如果发现账户漏洞,赏金可以高达10万美元。Apple提取用户数据的漏洞可获得25万美元的奖励。
Muthiyah这个漏洞将给他带来35万美元的收入。
但事情并没有像他想象的那样发展。
起先Apple团队积极恢复Muthiyah提到的漏洞。
结果Apple似乎开始磨起外国工人。不仅没有支付相关奖励,甚至没有修复这个致命的漏洞,Muthiyah时隔10个月,Apple在生产环境中发布漏洞补丁,但Apple还没有更新。
Muthiyah真的受不了,他直接给了。Apple该团队写了一封邮件,称这个漏洞将在他的博客上公布。
Apple还很友好地说,发布前可以先发稿子。
当Apple看完手稿后,技术团队完全否认了他的观点,认为这个漏洞不是致命的,只有非Apple设备上的iCloud账户会受到攻击,绝大多数用户不会受到影响。
Muthiyah他很失望,所以他不在乎Apple如果你同意,你必须在你的博客上发布这个漏洞。
这时Apple团队给他发了一封奖励邮件,肯定了他在邮件中的行为,但付给他1.8合同奖励11万美元。
苹果的做法,Muthiyah几乎要炸了,很简单的拒绝了这个奖励。
对于这次经历,Muthiyah希望苹果的安全团队能让白帽黑客更加公开透明,了解发现漏洞的具体奖励金额。