苹果公司被曝压下神秘的 iCloud 隐私泄漏bug
编译:代码卫士团队
Melih 指出,他在 iPhone 上执行了一些特定的步骤,然后在设备账单信息相关设置中保存了与另外一个 Apple ID 相关联的新电话号码后,他能够从与该号码相关联的账户中查看部分 iCloud 数据。
Melih 表示,“我们假设 abc@icloud.com 的手机号码是12345,如果我将12345输入我的 xyz@icloud.comApple ID 账户中,那么我就能在 xyz 账户上的 abc 数据。在研究过程中,我看到了很多其它苹果用户在 iCloud 中记录的银行账户相关信息以及密码。”
由于这个缺陷存在于通过互联网实时从苹果服务器中加载信息的 iOS设备的 iCloud 设置中,苹果团队在后台悄悄修复,而未发布 iOS 更新。
如果 Melih 的报告是准确的话,如下的内容更加严重。
Melih 证实称,要求用户输入电话号码的文本框未验证用户输入,因此攻击者甚至能保存单个数字输入。按照 Melih 分享的演示来看,这种方法最终利用这个缺陷从随机的输入数字匹配关联电话号码的 iCloud 账户中提取了个人信息。
苹果证实问题存在,但……
为了证实 Melih 漏洞的存在并了解事件的全部过程,本文作者和苹果安全团队进行求证。
苹果公司表示确实收到了一份漏洞报告,表示“问题已在11月份得到修复”,但并未就其他重要问题进行回应,包括漏洞存在了多久,受影响用户的大概数量(如有),以及是否存在遭恶意滥用的证据等。
虽然这种回应很奇怪,但也并不新鲜。
就在昨天,苹果临时禁用 FaceTime 群聊服务,因为几天前该服务被曝可导致用户在其它用户接听前监听或监视其它用户。随后事实证明,一名14岁的男孩在一周前报告了这个漏洞,但苹果安全团队再次未能正确做出回应,导致数百万用户毫不知情且处于风险之中。
如果说 iCloud 疑似泄漏事件影响不大,那么苹果公司大可不必遮遮掩掩,否则导致事件更加蹊跷可疑。
我们将持续关注事态进展。
推荐阅读
原文链接
https://thehackernews.com/2019/01/icloud-privacy-breach.html
本文由代码卫士编译,不代表其观点,转载请注明“转自代码卫士 www.codesafe.cn”。