根据《黑客新闻》报道,2018年可能发生数据泄漏,在此期间会泄露iCloud服务用户的信息。 但是,苹果尚未正式宣布此类问题。
有什么问题
土耳其信息安全研究员Melih Sevim与记者联系。 他表示,他能够检测iCloud中的漏洞,这使他能够查看服务中其他人帐户的某些数据-例如,帐户中的便笺。 研究人员能够访问随机帐户的数据,并有目的地披露特定用户的信息-为此,他需要知道与该服务相关的电话号码。
据Melikh称,作为负责任的披露政策的一部分,他于2018年10月发现了一个漏洞,并已在11月向苹果报告了该错误,并附有重现该错误的说明以及使用该漏洞的视频演示。
苹果代表也于2018年11月告诉研究人员错误已得到解决,但表示该公司已在他的信息之前发现了它。 之后,车票立即关闭。
根据研究人员的说法,可能是由于存储在您的Apple ID帐户的付款信息中的电话号码与iCloud帐户的连接而引起的。 在设备上使用具有相应编号的服务时,会发生这种连接。
研究人员的某些操作使他可以在iCloud中保存与另一个帐户关联的号码,然后部分访问该帐户的数据。
“假设abc@icloud.com帐户的手机号码为12345。如果我在注册于xyz@icloud.com的Apple ID中输入12345手机号码,则可以在xyz中看到某些abc帐户信息。”
据研究人员称,在实验过程中,他能够访问iCloud用户的便笺,其中包含许多重要信息-包括银行帐户的帐户信息。
由于该漏洞包含在iOS设备的iCloud设置区域中,因此Apple能够通过Internet在后台对其进行修复。 无需为此发布单独的iOS更新。
苹果反应
Melikh向记者提供了信函,在此期间Apple Security Team员工确认了该问题并报告该问题已得到解决。
在回应《黑客新闻》的一封信中,苹果公司也确认了该漏洞,并表示该漏洞“已于2018年11月修复”,而忽略了该漏洞在系统中存在多长时间,其数据被披露的大约用户数以及有证据表明它被黑客利用。
同样是在本周,有关FaceTime中的一个漏洞的消息也广为人知,该错误使呼叫者可以访问其他人的麦克风和摄像头,即使他们没有接听电话。 为了保护用户,开发人员被迫禁用Group FaceTime。
后来才知道,发现该漏洞的这名少年的母亲
试图在通知苹果之前一周通知苹果。 没有人响应她在社交网络上的消息和错误报告。
Positive Technologies研究人员还发现了Apple产品中的漏洞。 因此,在2018年夏季,该公司
发布了针对macOS High Sierra 10.13.4
的更新 ,
该更新消除了Maxim Goryachy和Mark Ermolov发现的个人计算机固件(CVE-2018-4251)中的漏洞。 该漏洞允许利用Intel Management Engine子系统中的危险错误。