安全專家:蘋果 iCloud 漏洞「知情不報」長達半年之久


國外媒體 Daily Dot 透露,該媒體本月獲得了數封據傳是開發者向蘋果匯報iCloud 存在可以被暴力破解的漏洞的電子郵件。根據郵件中的內容顯示,身居倫敦,名為Ibrahim Balic 軟件工程師,早在今年三月就給蘋果發出了郵件。在郵件中,他清楚地呈現了了自己發現的這種破解方法。

在女星艷照事件發生快要過去一個月的時間裡,蘋果方面除了對外表示不是自己的錯,是用戶自己登陸釣魚網站,以及建議開啟兩步驗證之外,沒有任何對於iCloud 是否存在問題、將如何解決問題的實質性的答案。而本封郵件則曝光了蘋果可能早在今年三月就已經知曉了iCloud 存在漏洞,用戶的登錄密碼可能被暴力破解的情況下,仍然對此安全隱患保持了長達半年的「無動於衷」。

在這封發送日期顯示為3 月26 日的電子郵件中,Balic 清楚地告知蘋果,自己成功地繞過了蘋果設置的用於阻擋暴力破解密碼的機制,也即可以無視蘋果設置的密碼試錯次數限制。 Balic 在郵件中透露,自己已經可以嘗試超過2 萬次的密碼是錯,而這個數量已經可以算作「暴力破解」的級別。

在郵件中,他用英語(非母語)對蘋果寫到:我希望通知你們修復這個問題。


很顯然蘋果並沒有仔細地檢查這個問題。在隨後的郵件溝通中,蘋果安全人員一直在要求Balic 向他們展示更多的東西,但直到5 月,該問題依然沒有解決。

隨後8 月底,好萊塢女星艷照事件開始曝光、發酵。蘋果在過程當中修復了一些bug,但都不是Balic 在郵件中提到的問題。

Balic 透露,這已經不是第一次他提交的bug 沒有得到蘋果的反饋。上一次在2013 年6 月,他發現了蘋果開發者中心網站當中的一個XSS 漏洞,並提交了bug,蘋果「幾乎瞬間撤下了整個網站,進行了修復」,並隨後聲稱有黑客試圖侵入該系統,但並沒有提及Balic 匯報的bug,或者任何問題發現者所做出的貢獻。


資料來源:TECH2IPO

如果喜歡我們的文章,請即分享到︰

標籤: iCloud  漏洞