По информации издания The Hacker News, в 2018 году могла произойти утечка данных, в ходе которой была раскрыта информация пользователей сервиса iCloud. При этом Apple официально не объявляла о подобных проблемах.
В чем проблема
С журналистами связался турецкий исследователь информационной безопасности Мелих Севим (Melih Sevim). Он заявил, что сумел обнаружить уязвимость в iCloud, которая позволила ему просматривать некоторые данные чужих аккаунтов в сервисе – например, заметки в учетных записях. Исследователь смог получить доступ как к данным случайных аккаунтов, так и целенаправленно раскрывать информацию конкретных пользователей – для этого ему нужно было знать связанный с сервисом номер телефона.
По словам Мелиха, он обнаружил баг в октябре 2018 года и уже в ноябре в рамках политики ответственного разглашения сообщил о нем в Apple, приложил инструкции по воспроизведению ошибки и видеодемонстрацию использования уязвимости.
Представители Apple также в ноябре 2018 года сообщили исследователю, что ошибка исправлена, однако заявили, что компания обнаружила ее до его сообщения. После этого тикет был сразу же закрыт.
Согласно объяснениям исследователя, возможная уязвимость возникала из-за связи телефонного номера, сохраненного в платежной информации аккаунта Apple ID, с учетной записью в iCloud. Такая связь возникала при использовании сервиса на устройстве с соответствующим номером.
Определенные манипуляции исследователя позволили ему сохранить номер, связанный с чужим аккаунтом в iCloud, а затем получать частичный доступ к данным этой учетной записи.
«Предположим, что мобильный номер для аккаунта abc@icloud.com – это 12345. Если я введу мобильный номер 12345 в своем Apple ID, который зарегистрирован на адрес xyz@icloud.com, то смогу увидеть определенные данные аккаунта abc в xyz».
По словам исследователя, в ходе экспериментов ему удалось получить доступ к заметкам пользователей iCloud, в которых хранилось много важной информации – включая учетную информацию банковских аккаунтов.
Поскольку уязвимость содержалась в участке настроек iCloud для iOS-устройств, Apple смогла исправить ее в фоновом режиме через интернет. Для этого не нужно было выпускать отдельное обновление iOS.
Реакция Apple
Мелих предоставил журналистам переписку, в ходе которой сотрудники Apple Security Team подтверждают наличие проблемы и сообщают, что она уже устранена.
В ответе на письмо редакции The Hacker News Apple также подтвердила наличие уязвимости и сообщила, что «она была устранена еще в ноябре 2018 года», проигнорировав вопросы о том, как долго уязвимость присутствовала в системе, примерное число пользователей, чьи данные были раскрыты, и есть ли свидетельства ее эксплуатации хакерами.
Также на текущей неделе стало известно о баге в FaceTime, который позволяет звонящему получить доступ к чужим микрофону и камере, даже если на звонок не ответили. Разработчики были вынуждены отключить функцию Group FaceTime, чтобы защитить пользователей.
Позже стало известно, что мать обнаружившего уязвимость подростка пыталась оповестить Apple за неделю до того, как о ней стало известно. Никто не отреагировал на ее сообщения в соц-сетях и баг-репорт.
Исследователи Positive Technologies также находили уязвимости в продуктах Apple. Так летом 2018 года компания выпустила обновление для macOS High Sierra 10.13.4, которое устраняет уязвимость в прошивке персональных компьютеров (CVE-2018-4251), обнаруженную Максимом Горячим и Марком Ермоловым. Уязвимость позволяла эксплуатировать опасную ошибку в подсистеме Intel Management Engine.
Автор: ptsecurity