Comments 63
Но можно задать 4х значный код-пароль экранного времени и запретить изменение «Учетной записи». Главное не забыть этот код. Если же включить «Учёт на всех устройствах», то код пароль будет общий для всех устройств и его можно будет достать из iCloud.
Спасибо за статью, хоть и мало понял, но зато интересно!
Насколько легально, с точки зрения законодательства РФ, продавать эксплойты в zerodium?
Возможность получить коды на доверенный телефон с одной стороны облегчает разблокировку своего телефона, с другой стороны, открывает возможности для социальной инженерии для получения кодов не напрямую, а через родственников или других доверенных лиц, которые могут не быть хорошо подкованы в сфере ИБ.
Так и не была показана успешная реализация атаки, куча теоретических рассуждений в сферическом вакууме
Иначе бы статья называлась "Почему я отказался платить 18 тысяч долларов Apple" :D
Теоретические рассуждения, видимо, были как способ объяснить несведущим детали, но получилось не очень удачно, по крайней мере, в переводе.
странная логика, я бы понял если бы он обижался, что ему дали 0 денег, но ведь предлагали достаточно немало
То есть, первый ответ Apple, в котором они признали проблему после получения видео с демонстрацией, вы не заметили случайно или притворяетесь шлангом в попытках отстоять свое мнение?
Вроде себя за профессионала, как автор статьи выдаете, а даже не понимаете банальных вещей, что скрины легко подделать. Тогда резонный вопрос, где видео демонстрации, которое вы упоминаете?
Кто действительно разбирается, тому вполне достаточно идеи, описанной в статье для объективной оценки подобного вектора атаки.
Правда? В таком случае, такие идеи озвучивались далеко до автора, так же как к примеру sql injection. Это не более чем абстрактный класс атак. Автор статьи ни делал никакого открытия, и не показал реализацию атаку. С таким же успехом можно сделать статью, как вы нашли sql injection на сайте google. И что они вам в переписке отказывают в выплате 1 миллиона долларов. Или вы нашли вместо sql injection, не раскрученную ошибку от sql сервера, но написали разработчикам, что у них там sql injection и у них серьезные проблемы с безопасностью. Вы разницу не понимаете?
Для того, чтобы оценить вкус молока, не обязательно быть коровой, которая его производит.
Вы сами поняли, что написали? С каких пор у вас сказочные фантазии, что коровы оценивают вкус молока? Такие же фантазии, что автору плюнули в лицо и не оценили его работу?
Тогда резонный вопрос, где видео демонстрации, которое вы упоминаете?
"I reported this information with detailed reproduction steps and a video demonstrating the bypass to Apple security team on July 1st, 2020. Apple security team acknowledged and triaged the issue with in few minutes of report."
Вы пишете что скриншот легко подделать, но видео подделать так же легко. Единственный способ убедиться что эксплойт рабочий - повторить его применение. Однако, дыра запатчена и повторить её применение невозможно. Таким образом, даже если бы автор не просто написал бы это словами, но и приложил в общественный доступ видео эксплуатации уязвимости, никто не смог бы подтвердить что это не монтаж а реальный эксплойт, то есть вы хотите невозможного.
Вам остаётся либо верить автору, либо не верить - ни подтвердить, ни опровергнуть его слова (и даже видео, было бы оно доступно) вы (или кто либо другой) не можете.
Я продолжал тестировать уязвимость, чтобы проверить, устранена ли она, уже не полагаясь на них. Я протестировал её 1 апреля 2021 года и понял, что патч уязвимости был выпущен в продакшен, но Apple снова меня никак не проинформировала.
У Apple есть официальный "прейскурант" по уязвимостям, в котором отсутствует $18к и планка начинается с $25к за получение персональных данных, а за контроль над аккаунтом без участия владельца уже $100k, о чём в тексте статьи говорится в разжованном виде. Вы же начинаете придумывать какие-то "завышенные ожидания", наверное основываясь на понятии российского МРОТ.
Так что статья о том, как вы нашли клад стоимостью 100к, а вам за него предложили лишь 18к и вы демонстративно от них отказались так как это очевидное жлобство.
Ну вот по описанию тут как раз серьёзность проблемы к высшей планке "ценника", а оценили на "плинтус".
Компания могла и не выплачивать максимальную сумму награды за захват аккаунта iCloud (100 тысяч долларов), но должна была хотя бы выплатить близкую сумму, учитывая важность уязвимости.
Вы ушли в какие-то дебри разбора личности вместо разбора сути.
Обратите особое внимание на эти слова автора:
if my assumption is right
Обратите внимание что автор вам сразу же отвечает на это:
Lets say all my assumptions are wrong and Apple passcode verifying endpoint wasn’t vulnerable before my report. Even then the given bounty is not fair looking at the impact of the vulnerability as given below.
Человек обнаружил некую уязвимость. Написал в поддержку Яббл, получил какой-то ответ, но он его не устроил. Человек написал статью с примерным изложением событий. Другие люди стали обсуждать "да ты ничего не предъявил, у тебя одна вода".
А он что, должен был? Вы всё-таки не поддержка Яббл и в подробности вас посвящать никто не обязывался.
По-моему вы забыли, что это перевод статьи с совершенно другого ресурса, и автор (статьи, а не перевода) совершенно не обязан писать её под вас лично или "высокие стандарты хабра".
Вы можете обсуждать, стоило ли перевод публиковать на хабре или нет, но претензии предъявлять к автору изначального текста - это, извините, "со своим уставом в чужой монастырь".
Если вы изначально говорили об оригинале, то какого чёрта вы пишете
Вы точно на техническом ресурсе, а не на гуманитарном?
?
В рамках ресурса, на котором опубликован был оригинал, какие у вас к нему вопросы? Почему вы их задаёте здесь, мне, а не автору статьи, там?
Если автор пишет ересь
то это ваше личное мнение, с которым я не согласен. На том и закончим этот бессмысленный тред.
$18K это немного в США – два-три месяца прожить (а в Кремниевой долине и того меньше).
Apple сама признала уязвимость, как минимум, для некоторых аккаунтов. Не понятно, в чём противоречие их же полиси.
Но, например мне, всё же трудно понять насколько должно быть всё бюрократически запущено и быть, так скажем, неидеальным, когда исследователь приходит к крупному автогиганту с уязвимостью в системе дистанционного доступа к автомобилю, а производитель мало того что полгода ничего не делает и денег не выплачивает, так потом ещё и в суд подаёт на человека, который всё это опубликовал, так как иначе заставить вендора прикрыть дыру заставить просто невозможно. Это на каком уровне развития должно находится сознание людей принимающие такие решения и организующих программу баунти именно так, что она вместо помощи компании становится мощным и непробиваемым фильтром? И ведь эти люди организуют процессы, которые приносят нам, пользователя, продукты… о безопасности которых лучше не задумываться)
Подскажите, пожалуйста, какое приложение автор статьи использовал для отправки HTTP POST запроса и получения ответа на этот запрос. Увидел скрин запроса на картинке.
Какое-то гадливое ощущение от поведения Apple после прочитанного
Такое поведение получается у любой крупной компании, состоящей из более одного отдела и более одного сотрудника в них. По сути, ответы писали очень разные люди по очень разным мотивам и очень разным описаниям проблемы, и в этот раз их поведение сложилось не во что-то «справедливое». Но в целом это вообще случайность - получить ответ на свой сколь-нибудь отклоняющийся от корпоративного сценария вопрос :).
Мы можем отправлять до 6 параллельных запросов IP-адресу сервера Apple (привязав iforgot.apple.com к IP-адресу) с одного клиентского IP-адреса в соответствии с их ограничениями. Как сказано выше, резолвится 6 IP-адресов Apple. То есть с одного IP-адреса мы можем отправлять до 36 запросов на 6 IP-адресов Apple (6 x 6 = 36).
Значит у каждого сервера Apple свой счетчик ограничений, это понятно.
Но выше в статье написано, что аккаунт (не IP) блокируется после пяти неверных попыток ввода кода. То есть аккаунт на всех серверах должен залочиться после проверок 36 кодов суммарно (если параллельные запросы на каждом сервере считаются корректно) либо 180 кодов (если нет).
В этом и заключается уязвимость? Если да, то 18000 долларов за нее более чем достаточно.
Насколько я понял статью, дело тут в том, что запросы параллельные считаются не так как последовательные.
То есть отправил одновременно с 1 000 000 ип адресов запрос, и сервер всем ответит, и лишь после этого обновит счётчик запросов (то есть обновление счётчика происходит не сразу, пропуская запросы близкие по времени отправки)
Скорее всего "гонка данных" заключается в том, что информация о количестве попыток ввода читается с физически распределённых реплик, и если отправить запросы на разные серверы в рамках довольно короткого промежутка времени, эти запросы успеют выполниться до того, как на реплики, с которых читается информация, поступят актуальные данные.
В коментариях несколько раз написано "сложность значительно выше". А почему собственно? Ну т.е. в теории нам надо с 28000 (да хоть с 1000000) адресов отправить запросы. Делаем отправлялку запросов (на основе cURL например) и управляющий сервер. Отправлялку можем хоть через ansible залить довольно быстро на большое количество хостов. Опять-же никто не мешает нам в рамках 1 физической машины запустить множество экземпляров нашей отправлялки запросов каждый из которых будет работать через TOR принудительно для себя делая новый маршрут (получая новую точку выхода). Естественно синхронизируем всё наше добро отправляя не каждому инстансу задачу по очереди, а отправляя всем задачу "в N-часов ровно выполнить запрос M" и ждём, когда выполнит. Ну а далее уже в соответствии с нашей "бизнес-логикой" обрабатываем результат. Т.е. 10 VPS могут выполнить 2800 запросов каждая, адреса будут разные, всё произойдёт в один момент времени. Что-то не учёл или сложность была не в этом?
Айфон жены спокойно разблокирует ее сестра по фэисади и наоборот, хотя они не близняшки и даже не похожи совсем. А декларировали, что различает даже близнецов
А декларировали, что различает даже близнецов
Они этого никогда не декларировали. Если посмотрите даже оригинальное видео, где анонсировали iPhone X и FaceID, там Craig шутит, что телефон можно будет разблокировать, если у вас есть "злой близнец", а также с самого начала была оговорка, что в некоторых случаях близкие родственники могут распознаваться как одно лицо.
https://support.apple.com/en-us/HT208108
The probability that a random person in the population could look at your iPhone or iPad Pro and unlock it using Face ID is approximately 1 in 1,000,000 with a single enrolled appearance. As an additional protection, Face ID allows only five unsuccessful match attempts before a passcode is required. The statistical probability is different for twins and siblings that look like you and among children under the age of 13, because their distinct facial features may not have fully developed. If you're concerned about this, we recommend using a passcode to authenticate.
Не?)
Прочел первый абзац по русски, дальше читал оригинал. Уважаемый
@PatientZero, спасибо за ваш труд! А теперь - ложка дёгтя: чтобы переводить такого рода технические тексты, надо не только уметь в перевод, а ещё и в конкретную область техники, в которой этот перевод вы собираетесь делать. Или хотя-бы консультироваться с техническими специалистами в предметной области.
Надеюсь - критика будет воспринята как конструктивная.
Вы сами выбрали этот путь, выдав уязвимость apple, и надеясь на награду за баунти. Там работают такие-же люди, может разработчики отвечающие за безопасность не хотели это афишировать начальству или еще что-то, здесь много нюансов и "или или". тем более вас игнорили о фиксе данной проблемы, но вы довольно настойчивый и продолжали писать им. Но я веду к тому что, как вы уже и указали, вы просто могли продать эту уязвимость "другим людям", и не тратить на apple время. Тем более они вас кинули, по вашему мнению...
Почему я отказался от 18 тысяч долларов по баунти-программе Apple