傲慢的蘋果：早已知道漏洞卻拒絕修復

2023-07-19 04:47:21 1

    泡泡網主板頻道9月26日 蘋果iCloud安全漏洞引發的豔照事件震驚全球，但更震驚的是，蘋果與某安全研究人員的來往郵件顯示，蘋果最早在2014年3月份就已經知道了問題所在，但沒能及時修復。

    Ibrahim Balic是倫敦的一位軟體開發人員。3月26日，他通知蘋果，自己成功繞過了iCloud安全機制，發動了Brute-Force攻擊(窮舉暴力破解密碼)。

    這種方式其實是很容易防禦的，只要限制嘗試次數即可，但是Balic稱自己能在任意iCloud帳戶上嘗試2萬多個密碼組合，但帳戶不會被鎖定。

    在Google那裡，他也發現了類似的問題，後者迅速做出了回應(具體內容沒說)。

    他希望蘋果能儘快修復，而蘋果一個多小時後就回信了，但只是表示了感謝。

    隨後，Balic再次告知蘋果，其在線Bug反饋平臺存在同樣的漏洞。

    5月6日，蘋果給Balic發信了，但不是說漏洞已經修復，而是認為如此破解一個帳號耗時太長，根本不會有人這麼做。言下之意，蘋果認為這不算漏洞，沒必要修復。

    Balic也表示：「我認為問題沒有完全解決。他們不斷問我，讓我透露更多細節。」

    不過在7月25日，蘋果倒是修復了Balic報告的其Web伺服器通知頁面的XSS漏洞。■