一个臭虫猎人如何迫使苹果完全删除一个新发布的功能

去年11月，苹果推出了一项新的应用商店功能，名为通知“button—；一个亮橙色按钮，当应用商店中有任何游戏或应用可用时，如果用户希望通过iCloud Mail收到提醒，可以单击该按钮。

漏洞实验室的Benjamin Kunz Mejri在iTunes的Notify功能和iCloud mail中发现了多个漏洞，使得攻击者能够用恶意软件感染其他苹果用户。

“成功利用该漏洞会导致会话劫持、持续的网络钓鱼攻击、持续重定向到外部源，以及持续操纵受影响或连接的服务模块上下文，”Mejri在周一发布的一份咨询报告中写道。

这就是攻击的原理？

此次攻击涉及通过iTunes和App Store的iOS Notify功能利用三个漏洞进行攻击。
当你点击任何未发布应用的通知功能时，该功能会自动从你的设备检索信息，包括你的devicename值和主要iCloud电子邮件id，以便在即将发布的应用首次发布时提醒你。

然而，此devicename参数容易受到持久输入验证漏洞的攻击，这使得攻击者能够将恶意javascript负载插入devicename字段，成功利用该漏洞后，该字段将在受害者的设备上执行。

此外，远程攻击者甚至可以将受害者的iCloud电子邮件设置为其主要电子邮件地址，而无需受害者方的任何确认，这就是第二个漏洞所在的位置。

因此，现在，每当未发布的应用可用时，苹果都会向受害者的地址发送一封电子邮件，因为攻击者在订阅通知时已将受害者的电子邮件地址设置为自己的主电子邮件。

因此，受害者将收到来自苹果的电子邮件，其中包括攻击者插入devicename字段的恶意负载。
如屏幕截图所示，恶意负载将在受害者一侧执行，这是苹果电子邮件客户端的第三个缺陷，无法检查发送给用户的电子邮件内容。

成功利用这些漏洞可使攻击者执行各种操作，例如会话劫持。

“持续输入验证和邮件编码web漏洞的安全风险估计与cvss一样高(通用脆弱性评分系统)计数为5.8，”Mejri写道。

“利用持久输入验证和邮件编码web漏洞需要低权限的apple（appstore/iCloud）帐户和低或中等用户交互”。

Mejri说，他第一次准备利用Notify功能的代码是在9月份，当时苹果首次发布了这一功能。大约在12月15日，当超级马里奥跑在苹果应用商店上发布时，他证实自己的攻击效果良好。

据报道，苹果意识到了这些问题，并正在修复它们。