Бесплатно Экспресс-аудит сайта:

23.06.2021

Apple преуменьшила опасность критической уязвимости в iCloud

Исследователь в области кибербезопасности Лаксман Муфия (Laxman Muthiyah) сообщил об обнаружении критической уязвимости в функции сброса пароля Apple. Ее эксплуатация позволяет перехватить контроль над любой учетной записью iCloud, однако Apple преуменьшила влияние проблемы.

Проблема связана с обходом различных мер безопасности, применяемых Apple для предотвращения попыток брутфорс-атак на функцию «забытый пароль» для учетных записей Apple. При попытке сбросить пароль пользователю предлагается указать свой номер телефона или адрес электронной почты, чтобы получить одноразовый код доступа из 6 цифр. Таким образом, злоумышленник, желающий получить доступ к учетной записи, сначала должен знать номер телефона или адрес электронной почты жертвы, а затем правильно угадать шестизначный код или иметь возможность перебрать примерно 1 млн возможных вариантов.

Для предотвращения подобного подбора кода Apple ограничила количество предоставляемых попыток до 5, а также ограничила количество одновременных POST-запросов к одному и тому же серверу с одного IP-адреса до 6. Таким образом злоумышленнику потребуется 28 тыс. IP-адресов для отправки миллиона запросов.

В качестве дополнительной меры безопасности Apple также занесла в черный список поставщиков облачных услуг и, предположительно, автоматически отклоняет POST-запросы, поступающие от AWS, Google Cloud и пр. Однако исследователь обнаружил, что злоумышленник может отправлять запросы, используя незаблокированные облачные сервисы для подбора 6-значного кода с целью получения доступа к учетной записи iCloud.

ИБ-эксперт сообщил Apple об уязвимости 1 июля 2020 года, и в апреле 2021 года техногигант выпустил патч. Исследователь утверждал, что Apple не уведомила его об устранении проблемы. Кроме того, по словам специалистов Apple, только «очень небольшая часть учетных записей когда-либо подвергалась риску данной атаки, и крайне мало пользователей устройств Apple были уязвимы к ней».

«Эта атака работает только против учетных записей Apple ID, которые никогда не использовались для входа на защищенные паролем iPhone, iPad или Mac», — заявили в компании, преуменьшая оценку исследователя.

По словам Мутии, компания попыталась скрыть тот факт, что уязвимость была критической, и даже изменила соответствующую страницу поддержки. Он считает, что изменение было внесено в октябре 2020 года после отправки уведомления о проблеме.

Apple предложила исследователю вознаграждение за обнаружение уязвимости в размере $18 тыс., но он отказался от нее, заявив, что компания значительно преуменьшила значение уязвимости и должна была выплатить ему $100 тыс. или даже $350 тыс.