上周看到了第四次发生海上目标(OBTS)这是唯一一个专注于苹果生态系统的安全会议。因此,它吸引了许多该领域的顶尖人才。今年,那些长期缺乏一个好的安全会议的头脑们准备好了,准备分享各种各样的好信息。
由于控制它施加了它的生态系统,了解苹果对安全的态度 - 并愿意作为安全的“舞蹈合作伙伴”,这对保护Apple系统以及开发Apple安全软件至关重要。
我曾在OBTS工作过,这就是我对苹果公司目前对待隐私、安全和交流的态度的了解。
苹果不擅长和安全研究人员合作
苹果与许多安全研究人员有岩石关系的任何人都不有惊喜。Years ago, well-known researcher and co-author of the book “The Mac Hacker’s Handbook”, Charlie Miller, figured out how to get a “malicious” proof-of-concept app into the App Store, and reported this to Apple after having achieved it. His reward? A lifetime ban from Apple’s developer program.
这充分说明了苹果与第三方安全研究人员的关系。不幸的是,这些年来情况并没有太大的改变,这也是苹果和那些试图告诉它安全问题的人之间关系紧张的一个持续原因。在大会期间,OBTS的发言人报告了苹果管理不善的bug报告和补丁,苹果多次遭到观众的嘘声。
苹果被指控做了什么?不幸的是,有很多犯罪行为。首先,一些安全研究人员报告说,他们从苹果的漏洞奖励计划中得到的漏洞奖励明显低于他们应得的奖励。例如,塞德里克·欧文斯(@cedowens.)发现macOS有一个漏洞,可以让攻击者访问敏感信息。苹果的漏洞悬赏计划称,这些漏洞价值高达10万美元。他们付给塞德里克5000美元,在“敏感数据”的定义上争论不休。(需要说明的是,塞德里克的漏洞绝对让任何安全研究人员或IT管理人员都能获得敏感数据……稍后再详细说明。)
其他研究人员报告了类似的问题,对于更多的臭虫来说,应该有很大的收支。此外,经常有一个重要的等待奖金,在错误的固定后 - 有时六个月或更长时间。Apple也倾向于“沉默”,在处理错误报告过程中没有响应研究人员,并反复未能妥善信用研究人员,甚至在其发行说明中提及重要错误。
所有这些都给许多研究者留下了苦涩的味道,有些人决定要么公开他们的弱点——就像发表论文的大卫·托卡列夫三个弱点因为苹果公司几个月来都没有采取行动,或者在“水货市场”出售这些漏洞,这样他们可以赚更多的钱。
请记住,苹果是世界上最富有的公司之一。与Apple年的年度利润相比,向安全错误的最高价格将是便士。
一个修补流言被终结了
它长期以来一直是Apple支持当前系统的拇指规则,加上前两个与安全相关的补丁。目前,这意味着MacOS 11(大Sur),加上Macos 10.15(Catalina)和Macos 10.14(Mojave)。
然而,这并不是苹果公司曾经声明过的。老实说,我无法告诉你这个想法从何而来,但我听到它在Mac社区中回荡了近20年。尽管研究人员和一些IT管理人员多年来一直质疑这种“传统智慧”是否真的是真的,但许多人相信这一点。杰克长(@theJoshMeister)对此做了很多研究,并在会议上提出了他的发现。
在过去的一年里,我们只修复了“当前三个”系统中的一些bug。这在一定程度上是已知的,但乔希的数据让人大开眼界,因为它正在发生。那些意识到这些差异的人推测,其中一些bug可能并没有影响所有的三个系统,这可能解释了为什么没有为它们发布补丁。
然而,Josh能够跟踪发现这些错误的安全研究人员,并确认至少一个案例,Mojave受到在Catalina和Big Sur中被修补的错误的影响。因此,我们现在知道这种拇指规则是假的。这证实了许多人的怀疑,但还有许多其他人继续相信神话。它在Apple自己的论坛周围回应,其中包括其他地方。
事实是,这种猜测持续了多年,甚至有必要进行研究来证明它是错误的,这是苹果的一个重大失败。微软会告诉用户某个系统是否仍然被支持。为什么苹果不能这样做呢?保持沉默,让人们相信“三个受支持的系统”的神话,意味着一些机器容易受到攻击。
此时,您应该假设目前最新的系统大血管,但很快就是蒙特利 - 是最安全的系统,并且可能有众所周知的漏洞在所有其他系统中留下了未被捕获的漏洞。这意味着当蒙特利这样的新系统出来时,您应该感受到更大的紧迫感,而不是等待升级几个月。
苹果喜欢隐私,但你仍然可以被跟踪
苹果公司以其在隐私问题上的强硬立场而闻名。(我这么说的意思是,如果苹果不出名的话,你可能会问,“那个真正喜欢隐私的公司叫什么名字?”)然而,尽管如此,我们还是听到了很多关于数据访问和跟踪的讨论。(或许是因为苹果对隐私的看法,当我们学会如何侵犯隐私时才更有趣?)
(伊娃•加尔佩林@evacide)谈到偷偷地在iOS上如何跟踪你,尽管是苹果的保护。From a technical perspective, spyware—defined as software running on the device that surveils and tracks you—is not much of a thing, because of Apple’s restrictions on what apps can do, plus the fact that you can’t hide an app on iOS.
然而,伊娃向我们展示了间谍软件公司是如何让你悄悄接近你的前任的。许多这样的公司提供门户网站,在那里你可以输入跟踪受害者的苹果账号和密码,从而通过iCloud的功能进行跟踪。iCloud电子邮件、笔记、提醒、iCloud Drive上的文件等都可以读取。"找到我"能提供受害者的位置。可以查看同步到iCloud上的照片。等等。
你可能会说:“等等!这需要我知道我的受害者的苹果ID密码,并获得他们的双因素认证!因此,这不是一个问题。”
然而,请记住,在许多国内虐待情况下,攻击者究竟有这种信息。此外,对于数据泄露,可以在数据泄露中轻松找到Apple ID凭据,用于使用他们在其他地方使用的Apple ID密码的潜在受害者,并且有技术攻击者可以用于捕获双因素认证代码。
另外,让我们都记住几年前的情况,有人能够欺骗苹果支持帮助他们进入名人账户,以便从iCloud窃取他们的裸照。
在不同的话题,莎拉爱德华兹(@iamevltwin)谈到了苹果钱包。作为一名取证专家,Sarah对数据以及如何访问数据有着深刻的理解,并展示了通过访问iPhone备份可以获得的数据类型。如果攻击者能够访问这些备份,那么就可以获取大量关于您的日常活动、您经常访问的地方以及许多其他信息。
苹果疯了…谁是基思?
会议上最有趣的部分是莎拉·爱德华兹的演讲,她讨论了苹果钱包的一个特定数据库中的数据。这个数据库包含数百个表,其中大多数以水果命名。是的,你没听错——香蕉、橙子、柠檬、榴莲!这些是数据库中与您的钱包相关的所有表的名称。
乍一看,这很令人费解。但这确实有一定的道理。如果你想从这个数据库中提取一些数据,你将不得不投入大量的工作去弄清楚如何找到它。表名帮不了你当然.这是一件非常好的事情,尽管我不羡慕那些必须保持所有数据库的开发人员。(“我们把图书卡上的资料放哪儿了?”哦,是的,用几维鸟!”)
尽管许多桌子仍然是一个谜,萨拉已经能够确定其中一些的目的,通过实验和观察。尽管如此,许多表只包含身份证号和时间戳之类的东西,这些东西本身是没有意义的。
(顺便说一句,如果“榴莲”表上没有与厕所付费交易相关的信息,我就会极失望的!)
撇开所有与隐私相关的讨论不谈,这些桌名让我想起了苹果的有趣和好玩的一面,这是我们现在很少能看到的。每个人都知道苹果神秘的外观,安全研究人员经常体验苹果的尖锐。
然而,苹果的老用户知道并喜欢“有趣的苹果”。这就是把所有工程师的签名刻在早期一体机外壳里面的苹果,只有少数人能看到它们。或者是苹果,在每一个macOS拷贝中都有一个日历文件,里面隐藏着托尔金中土世界的历史。或者是曾经在Apple Watch支持页面上“Rickroll”你的苹果!
特别是有趣的是发现,在所有水果中埋葬的发现,有一个数据库只是命名为“基思”。谁是这个基思,为什么他在钱包里?询问心灵想知道!
所有苹果的缺陷,我们爱抱怨,发现这个数据库带回来的记忆我爱的苹果,并提醒我,这不仅仅是一个不知名的公司,但也是一个公司全部的人也知道和爱苹果,我一样。
评论