iCloud可能在去年因苹果保密而遭到隐私泄露

类似地，当Twitter在过去几个月里遭遇多个漏洞（#1、#2、#3）时，这家社交媒体公司披露了这些事件，并通知了受影响的用户。

你猜怎么着？谷歌将于今年4月关闭其社交媒体网络Google+，此前谷歌承认其平台存在两个安全漏洞，将数十万用户的私人数据暴露给第三方开发者。

事实证明，苹果也可能在去年年底遭遇了隐私泄露，原因是其平台上的一个漏洞可能会将你的一些iCloud数据泄露给其他用户，但该公司选择对事件保密。。。可能是因为它不值得披露，或者可能更复杂。

上周，土耳其安全研究员梅利赫·塞维姆（Melih Sevim）联系了《黑客新闻》（The Hacker News），声称在苹果服务中发现了一个漏洞，允许他查看随机iCloud账户以及目标iCloud用户的部分数据，尤其是笔记，只需知道他们的相关电话号码。
梅利赫证实了黑客的消息，即他在2018年10月发现了所谓的漏洞，然后负责地向苹果的安全团队报告了该漏洞，并提供了复制该漏洞的步骤和视频演示，展示了他如何能够在其他苹果用户不知情的情况下读取他们的个人iCloud数据。

梅利赫告诉《黑客新闻》：“我发现，如果我打开（攻击者）iCloud帐户，用户和苹果服务器之间有一个活跃的数据传输，那么每次刷新时都有可能因为该漏洞而查看一些随机数据。”。

2018年11月修补后，苹果向梅利赫承认了这个问题，但回应称，在收到他的详细信息之前，公司已经解决了这个问题。

苹果随后立即关闭了罚单，并将领先优势掩埋。

一只神秘的iCloud虫

根据Melih的解释，所谓的缺陷存在于苹果“内部”链接的方式中，无论是意外还是故意，苹果ID的账单信息中保存的电话号码与使用相同电话号码的设备上的iCloud帐户相关联。

据梅利赫说，在他的iPhone上执行了一些特定的步骤，然后在设备上的账单信息相关设置中保存了一个与另一个苹果ID相关的新电话号码，之后他能够查看与该号码相关的帐户中的部分iCloud数据。

“如果有的话，让我们假设一下abc@icloud.com的手机号码是12345，当我在xyz@icloud.com苹果ID账户，我可以在xyz的账户上看到abc的数据，”梅利赫告诉THN。

“在我的研究过程中，我看到许多其他苹果用户的笔记，他们在iCloud中保存了与银行账户相关的信息和密码。”

由于该漏洞出现在iCloud针对iOS设备的设置部分，这些设备通过互联网从苹果服务器实时加载，因此苹果团队在后台悄悄修补了该漏洞，而没有发布新的iOS更新。

If Melih's report is accurate, the next detail makes the issue more serious…

Melih还证实了黑客的消息，即要求用户输入电话号码的文本框没有验证用户输入，因此攻击者甚至可以保存一个位数的输入。

正如Melih与THN分享的视频演示所示，该技巧最终利用了相同的漏洞，从随机的iCloud账户中获取个人数据，将输入数字与相关电话号码匹配。

苹果承认了这个问题，但是。。。

为了确认Melih的漏洞并了解事件的全部程度，我们在发表本文之前联系了苹果的安全团队。

在回复黑客新闻邮件并知道我们正在编写一篇报道时，苹果承认了错误报告，称“问题在11月得到了纠正”，但没有回答其他一些重要问题，包括漏洞在几周内仍然存在，受影响用户的估计数量（如果有）以及是否有任何恶意攻击的证据？

这很奇怪，但不是新的。。。

就在昨天，苹果的视频通话应用程序中的一个漏洞被公开披露后，该漏洞允许FaceTime用户在接听电话之前听到或看到其他用户，苹果暂时关闭了其群组FaceTime服务。

后来发现，苹果公司在一周前被一名14岁的男孩告知FaceTime窃听漏洞后，该漏洞才成为头条新闻，但苹果安全团队再次未能及时沟通，导致其数百万用户不知道该问题，并面临风险。

如果可疑的iCloud泄漏是轻微的，那么苹果本可以证实我们，但它对报告的沉默使事件更加可疑。

我们将在听到更多消息后更新这个故事。