​​Исследователь Лаксман Муфия специализируется на поиске уязвимостей в механизмах проверки пароля различных сервисов, которые позволяют злоумышленникам получить доступ к аккаунту пользователя.

В марте мы писали про выявленную им дырку в алгоритме сброса пароля от учетной записи Microsoft, за открытие которой он получил от мелкомягких 50 тыс. долларов bug bounty.

Вчера он опубликовал результаты своего нового исследования, посвященного уязвимости в механизме восстановления пароля iCloud.

При восстановлении пароля пользователь должен ввести 6-значный код подтверждения, который приходит на телефон или на адрес электронной почты. Apple ограничивает количество запросов с одного IP-адреса 6 штуками. Но iforgot .apple .com имеет, в свою очередь, 6 IP-адресов. Таким образом, можно отправить одновременно 6 запросов с одного IP-адреса, ограничения это позволяют.

Подобрав все эти люфты Муфия пришел к тому, что ему понадобится 28 тысяч IP-адресов, для того, чтобы гарантировано подобрать 6-значный код и успешно сменить пароль. Apple внесли в черный список основных поставщиков облачных услуг, но исследователь смог найти несколько рабочих сервисов.

Таким образом, Муфия успешно обошел сначала 6-значный код SMS, а потом 6-значный код, полученный на электронную почту. Методика обхода была абсолютно идентична. Не помогла бы даже 2FA аутентификация, поскольку она имела ровно те же ошибки.

Об уязвимости исследователь сообщил в Apple 1 июля 2020 года. Apple поблагодарили и... забили (вот это поворот!) В результате, они устранили уязвимость только в начале апреля 2021 года, а Муфии написали, что все фигня кроме пчел, а зимой и пчелы фигня. И вообще это не баг, а фича, и она работала только с учетными записями iCloud, которые использовались только на устройствах Apple, не защищенных паролем.

Тогда Муфия закусил удила, стал копать дальше и пришел к выводу, что закрытая уязвимость позволяла не только захватить учетную запись iCloud, но и позволила бы взломать любой iPhone или iPad с 4 или 6-значным passcode (там все немного сложнее, но в формат поста это бы не влезло, можно почитать в первоисточнике).

В конце концов Apple "расщедрились" на 18 тыс. долларов bug bounty, хотя должны были по своим собственным правилам заплатить Муфии 350 тыс. $. Исследователь обиделся и, поскольку уязвимость уже закрыта, решил выкинуть всю инфу на публику.

Как известно, кроилово приводит к попадалову - совершая такие странные поступки со своей программой bug bounty Apple безусловно подрывает информационную безопасность собственных продуктов. Потому что в следующий раз более беспринципный и жадный исследователь, зная о жлобстве Apple, просто продаст эксплойт в даркнете и получит намного больше 18 тыс. долларов. Ну а мы с вами будем страдать от эксплуатируемых в дикой природе дырок в iPhone, потому что какие-то менеджеры компании с годовым оборотом в 275 млрд. долларов зажали 300 тысяч.

​​Как стать профессиональным хакером и тестировать системы и продукты компаний на прочность?

Команда практикующих пентестеров HackerU разработала программу обучения, где 80% практики и 100% поддержки от менторов обеспечат старт в профессии «Специалист по тестированию на проникновение».

По окончанию курса вас ждёт: получение диплома о проф. переподготовке, 2500+ открытых вакансий и проектов по кибербезопасности, карьерная поддержка от HackerU в лице экспертов и HR, а также доход уже на старте от 80к в месяц!

Хотите начать прямо сейчас? Мы ждём всех на бесплатной консультации с экспертом-пентестером, в которую входит:
— разбор roadmap по профессиям в ИБ
— первые задачи в формате киберсоревнований CTF
— тестирование, определяющее точку вашего старта
— и ответы на ваши вопросы от эксперта

Пройдите бесплатную консультацию с экспертом и зафиксируйте стоимость курса со скидкой в 30%!