Hacker News 中文摘要

RSS订阅

ICEBlock以最糟糕的方式处理了我的漏洞报告 -- ICEBlock handled my vulnerability report in the worst possible way

原文链接 | HN讨论 | 2025-09-08 22:44:34

文章摘要

作者批评ICEBlock应用在处理漏洞报告时表现极差,指出其服务器运行过时软件且存在已知漏洞,尽管应用下载量超过百万,但开发者未采纳社区建议,且未验证ICE目击信息,安全和隐私措施不足。

文章总结

标题:ICEBlock以最糟糕的方式处理了我的漏洞报告

上周,我撰文指出Joshua Aaron开发的ICEBlock应用——尽管初衷良好——实际上是一种“行动主义表演”。该应用允许用户在5英里范围内匿名报告ICE(美国移民及海关执法局)的目击情况,但Joshua在HOPE会议上的发言表明,他并未采纳当地社区组织的建议,且未对目击报告进行任何验证,同时在安全和隐私方面也缺乏专业知识。

在那篇文章中,我提到他的服务器运行着过时的软件,存在已知漏洞。我故意没有透露更多细节,因为当时他的服务器确实存在漏洞,我不希望有人在他修复之前利用这些漏洞。

ICEBlock在App Store的下载量已超过100万次。虽然我不确定Joshua的服务器是否存储了与这些用户或他们提交的报告相关的数据,但他在HOPE会议上曾大肆吹嘘其服务器的安全性。

我之所以公开此事,是因为使用ICEBlock的用户需要知道,开发者对计算机安全的态度非常草率,即使有人明确指出安全问题并给予他修复的时间。希望他的服务器上没有存储任何用户数据,也希望没有人会利用他提供的便利条件入侵他的服务器。同时,我希望这篇博文能促使他最终修复这个问题。

Joshua运营着两个Bluesky账号:一个是ICEBlock应用的官方账号(@iceblock.app),另一个是他的个人账号(@joshua.stealingheather.com)。他的个人账号关闭了私信功能,但ICEBlock账号的私信是开放的,因此我通过该账号向他发送了消息。

9月1日,我发消息提醒他,他的服务器运行着存在漏洞的Apache版本,并建议他尽快更新。随后,我发布了博文,并通过Bluesky向他发送了相关链接。然而,他不仅没有回应,反而通过@iceblock.app账号将我屏蔽。

之后,他通过个人账号发来一条私信,指责我在博文中撒谎,并表示这是他与我的最后一次沟通。我回复称,如果博文中有任何错误,我愿意进行更正。

几天后,我再次检查,发现他的服务器仍然运行着存在漏洞的Apache版本。于是,我决定给他一周的时间修复漏洞,否则将公开披露这一漏洞。然而,他再次没有回应,并在一个半小时后通过个人账号将我屏蔽。

如今,一周已经过去,我再次检查发现,Joshua的“高度安全”服务器仍然运行着存在多个已知严重漏洞的Apache版本。尽管有充足的时间修复问题,他仍未采取任何行动。希望他的服务器上没有存储任何与ICEBlock相关的数据。

评论总结

评论主要围绕ICEBlock开发者与作者之间的争议展开,涉及漏洞报告的方式、开发者对安全问题的态度以及双方沟通的有效性。以下是主要观点总结:

1. 漏洞报告的方式与态度

  • 支持作者的观点:有人认为报告漏洞是一种善意的行为,开发者应认真对待。例如,danielvf表示:“在软件开发/安全领域,有人向你报告漏洞是一个人能为另一个人做的最伟大的事情之一。”
  • 批评作者的观点:更多人认为作者的报告方式不当,夹杂了对开发者工作的负面评价,导致沟通失败。drclegg指出:“将报告与‘活动剧场’这样的贬义词捆绑在一起,显然不会让人愿意阅读。” oulipo2也认为作者态度不佳:“作者表现得有点傲慢,为什么不直接说‘嘿,我觉得你有个问题,这是修复方法’?”

2. 漏洞的实际影响

  • 质疑漏洞的严重性:许多评论者认为作者并未证明漏洞的实际可利用性,仅凭版本号判断漏洞存在是不严谨的。scubakid质疑:“这些漏洞是否真的与这个特定系统相关?” invokestatic补充:“仅凭版本号报告漏洞是纯粹的噪音。”
  • 开发者可能已修复漏洞:k4rnaj1k提到:“这个版本可能已经修复,没有证据证明服务器实际上存在漏洞。”

3. 开发者的反应与时间压力

  • 理解开发者的反应:jmuguy认为:“如果作者在报告漏洞后几小时就公开发表文章,我能理解开发者为何屏蔽他。” sd9也指出:“作者给出了不合理的短时间期限,并让道德观点干扰了负责任的披露。”
  • 开发者面临的压力:mangoman表示:“我从未构建过像ICEBlock这样的东西,它让我个人不仅面临普通的黑客攻击,还有联邦政府的政治压力。” DoctorOW提到:“开发者可能正在处理大量的骚扰和恶意批评。”

4. 双方沟通的失败

  • 沟通方式不当:sd9总结:“漏洞报告的沟通方式非常糟糕,作者夹杂了关于产品使命的煽动性言论,似乎并非真正为了确保应用安全。” Havoc认为:“双方都显得过于戏剧化。”

总结:

评论普遍认为作者在报告漏洞时夹杂了负面评价,导致沟通失败,且未充分证明漏洞的实际可利用性。开发者可能面临巨大压力,反应也有其合理性。双方在沟通和处理方式上都有改进空间。