Pozrite si
V cloudovej službe od Apple má milióny používateľov uložené svoje kontakty, fotografie, dokumenty, aj heslá. O to viac „zabolí“ bezpečnostná zraniteľnosť, ktorá mohla umožniť útočníkom prevziať kontrolu nad prakticky akýmkoľvek účtom Apple ID. Aj keď Apple za nájdenie takýchto zraniteľností ponúka atraktívne odmeny, v tomto prípade obišiel bezpečnostný expert naprázdno.
Každá digitálna služba dnes musí počítať s tým, že jej používatelia z času na čas zabudnú svoje prístupové heslo. Pokiaľ ide o tak veľkú digitálnu infraštruktúru, akú prevádzkuje Apple, systém pre obnovenie hesla už musí byť plne samoobslužný. Práve tu sa nachádzala Achillova päta zabezpečenia serverov Apple, ktorú odhalil bezpečnostný expert Laxman Muthiyah.
1 milión pokusov
Pre obnovenie hesla od účtu Apple ID musí používateľ získať jednorazový 6-miestny kód poslaný na mobilné zariadenie alebo e-mailovú adresu spojenú s daným účtom. Ak by ste chceli tento prístupový kód uhádnuť, potrebovali by ste na to zhruba 1 milión pokusov.
Proti takýmto pokusom sú samozrejme servery Apple chránené, v rámci jedného účtu ponúkajú iba 5 pokusov pre zadanie správneho hesla. V opačnom prípade dôjde k jeho úplnému zablokovaniu, pričom riešením nie je ani zmena IP adresy. Podobný limit (6 pokusov) má Apple nastavený aj na tzv. POST žiadosti, pričom v tomto prípade spoločnosť na ich spracovanie využíva 6 IP adries.
Potenciálny útočník má teda 6 pokusov odoslať požiadavku na 6 serverov Apple, z jednej adresy to teda môže vyskúšať 36-krát. Ak by chcel mať útočník k dispozícii spomínaných milión pokusov, potreboval by na to 28 tisíc IP adries.
Získať takýto počet IP adries nie je problém, POST žiadosti je totiž možné odosielať aj z veľkých serverových služieb akými sú Amazon Web Services, Googe Cloud a ďalšie. Apple bolo však v tomto prípade o krok pred útočníkmi a prístup týchto serverových služieb ku svojim serverom úplne zablokovalo.
Serverových služieb ale pribúda ako húb po daždi a ani Apple nedokáže zablokovať všetky. Laxman preto po mnohých pokusoch narazil na takú, s ktorou Apple nepočítalo, čím získal kľúč k obnoveniu hesla od akéhokoľvek Apple účtu, ktorý dokáže spojiť so správnym telefónnym číslom.
Odpoveď Apple
Laxman túto bezpečnostnú zraniteľnosť nahlásil Apple ešte 1. júla 2020, bezpečnostný tím spoločnosti ju v priebehu niekoľkých minút akceptoval. Po dlhej odmlke však napokon k jej oprave došlo až v apríli tohto roka, v tichosti, bez informovania jej nálezcu.
Keď chcel Laxman o tejto bezpečnostnej zraniteľnosti napísať blog, Apple po nahliadnutí do konceptu textu začalo tvrdiť, že zraniteľnosť neumožňovala útočníkom získať prístup ku všetkým účtom Apple ID. Zraniteľné malo byť údajne iba malé percento účtov, ktoré „neboli použité v heslom chránených Apple zariadeniach“.
To je samozrejme nezmysel, nakoľko zraniteľnosť overenie cez zariadenie používateľa úplne obchádza. Laxmanovi sa ale po hovore s bezpečnostnými expertmi podarilo prelomiť aj túto zraniteľnosť a získať tak prístup aj ku zamknutým Apple zariadeniam.
Apple ponúka bezpečnostným expertom za nájdenie podobných chýb naozaj štedré odmeny. Za odhalenie zraniteľnosti, ktorá útočníkom poskytne prístup k účtom Apple ID, ponúka Apple odmenu vo výške 100 000 dolárov. Za extrahovanie dát zo zamknutého Apple zariadenia ponúka 250 000 dolárov.
Laxman si na základe tohto „cenníka“ nárokoval odmenu v celkovej výške 350 000 dolárov. Ako však aj on sám spomína, od tzv. „3-písmenových“ vládnych agentúr by za nájdenie takejto bezpečnostnej zraniteľnosti dostal výrazne vyššiu odmenu, pokojne aj vo výške niekoľkých miliónov dolárov.
Aká bola ponuka Apple? Iba 18 000 dolárov. Po náročnej práci a viac ako roku čakania Laxman napokon túto ponuku odmietol. Apple medzitým všetky vyššie spomínané bezpečnostné zraniteľnosti zaplátalo a tieto formy útoku na jeho servery už dnes nefungujú.
Zdroj