国外媒体 Daily Dot 透露,该媒体本月获得了数封据传是开发者向苹果汇报 iCloud 存在可以被暴力破解的漏洞的电子邮件。根据邮件中的内容显示,身居伦敦,名为 Ibrahim Balic 软件工程师,早在今年三月就给苹果发出了邮件。在邮件中,他清楚地呈现了了自己发现的这种破解方法。 在女星艳照事件发生快要过去一个月的时间里,苹果方面除了对外表示不是自己的错,是用户自己登陆钓鱼网站,以及建议开启两步验证之外,没有任何对于 iCloud 是否存在问题、将如何解决问题的实质性的答案。而本封邮件则曝光了苹果可能早在今年三月就已经知晓了 iCloud 存在漏洞,用户的登录密码可能被暴力破解的情况下,仍然对此安全隐患保持了长达半年的「无动于衷」。 在这封发送日期显示为 3 月 26 日的电子邮件中,Balic 清楚地告知苹果,自己成功地绕过了苹果设置的用于阻挡暴力破解密码的机制,也即可以无视苹果设置的密码试错次数限制。Balic 在邮件中透露,自己已经可以尝试超过 2 万次的密码是错,而这个数量已经可以算作「暴力破解」的级别。 在邮件中,他用英语(非母语)对苹果写到:我希望通知你们修复这个问题。
很显然苹果并没有仔细地检查这个问题。在随后的邮件沟通中,苹果安全人员一直在要求 Balic 向他们展示更多的东西,但直到 5 月,该问题依然没有解决。 随后 8 月底,好莱坞女星艳照事件开始曝光、发酵。苹果在过程当中修复了一些 bug,但都不是 Balic 在邮件中提到的问题。 Balic 透露,这已经不是第一次他提交的 bug 没有得到苹果的反馈。上一次在 2013 年 6 月,他发现了苹果开发者中心网站当中的一个 XSS 漏洞,并提交了 bug,苹果「几乎瞬间撤下了整个网站,进行了修复」,并随后声称有黑客试图侵入该系统,但并没有提及 Balic 汇报的 bug,或者任何问题发现者所做出的贡献。 |
