Apple преуменьшила опасность критической уязвимости в iCloud
Исследователь в области кибербезопасности Лаксман Муфия (Laxman Muthiyah) сообщил об обнаружении критической уязвимости в функции сброса пароля Apple. Ее эксплуатация позволяет перехватить контроль над любой учетной записью iCloud, однако Apple преуменьшила влияние проблемы.
Проблема связана с обходом различных мер безопасности, применяемых Apple для предотвращения попыток брутфорс-атак на функцию "забытый пароль" для учетных записей Apple. При попытке сбросить пароль пользователю предлагается указать свой номер телефона или адрес электронной почты, чтобы получить одноразовый код доступа из 6 цифр. Таким образом, злоумышленник, желающий получить доступ к учетной записи, сначала должен знать номер телефона или адрес электронной почты жертвы, а затем правильно угадать шестизначный код или иметь возможность перебрать примерно 1 млн возможных вариантов.
Для предотвращения подобного подбора кода Apple ограничила количество предоставляемых попыток до 5, а также ограничила количество одновременных POST-запросов к одному и тому же серверу с одного IP-адреса до 6. Таким образом злоумышленнику потребуется 28 тыс. IP-адресов для отправки миллиона запросов.
В качестве дополнительной меры безопасности Apple также занесла в черный список поставщиков облачных услуг и, предположительно, автоматически отклоняет POST-запросы, поступающие от AWS, Google Cloud и пр. Однако исследователь обнаружил, что злоумышленник может отправлять запросы, используя незаблокированные облачные сервисы для подбора 6-значного кода с целью получения доступа к учетной записи iCloud.
ИБ-эксперт сообщил Apple об уязвимости 1 июля 2020 года, и в апреле 2021 года техногигант выпустил патч. Исследователь утверждал, что Apple не уведомила его об устранении проблемы. Кроме того, по словам специалистов Apple, только "очень небольшая часть учетных записей когда-либо подвергалась риску данной атаки, и крайне мало пользователей устройств Apple были уязвимы к ней".
"Эта атака работает только против учетных записей Apple ID, которые никогда не использовались для входа на защищенные паролем iPhone, iPad или Mac", - заявили в компании, преуменьшая оценку исследователя.
По словам Мутии, компания попыталась скрыть тот факт, что уязвимость была критической, и даже изменила соответствующую страницу поддержки. Он считает, что изменение было внесено в октябре 2020 года после отправки уведомления о проблеме.
Apple предложила исследователю вознаграждение за обнаружение уязвимости в размере $18 тыс., но он отказался от нее, заявив, что компания значительно преуменьшила значение уязвимости и должна была выплатить ему $100 тыс. или даже $350 тыс.
