Группа хакеров выиграла $ 288 500 от Apple за сообщение компании о 55 ошибках, включая ту, которая позволила бы злоумышленнику у

10 октября 202010 окт 2020

3 мин

Пять" белых шляп " -или этических — хакеров потратили три месяца на взлом Apple и обнаружили 55 уязвимостей в этом процессе.
Они выиграли $ 288 500 в виде вознаграждения от Apple в обмен на раскрытие ошибок.
Одиннадцать из этих уязвимостей были помечены как "критические", включая ту, которая позволила бы хакерам украсть все файлы и фотографии, хранящиеся в учетной записи iCloud жертвы, прежде чем заражать контакты этого человека.
По словам хакеров, Apple исправила уязвимости почти сразу же после того, как они были раскрыты.
Посетите домашнюю страницу Business Insider для получения дополнительной информации.

Группа хакеров потратила месяцы, нацеливаясь на разросшуюся онлайн-инфраструктуру Apple, и обнаружила множество уязвимостей — в том числе ту, которая позволила бы хакерам красть файлы из учетных записей iCloud людей — они объявили об этом в блоге на этой неделе.

Они действовали как" белые шляпы " хакеров, то есть их целью было предупредить Apple об уязвимостях, а не украсть информацию. Команду возглавлял 20-летний Сэм Карри, работавший вместе с Бреттом Бюрхаусом, Беном Садегипуром, Сэмюэлем Эрбоми Таннером Барнсом.

"Я никогда не работал в программе Apple bug bounty, поэтому на самом деле понятия не имел, чего ожидать, но решил, почему бы не попытать счастья и посмотреть, что я смогу найти", - сказал Карри в своем блоге. "Несмотря на то, что не было никакой гарантии относительно выплат или понимания того, как работает программа, все сказали "да", и мы начали взламывать Apple."

Apple заплатила группе $ 288 500 в рамках своей программы bug-bounty в обмен на раскрытие 55 уязвимостей, 11 из которых были помечены как "серьезные"."Карри сказал, что как только Apple обработает и вознаградит все ошибки, о которых сообщила группа, их общая сумма может превысить 500 000 долларов.

Одна из самых вопиющих уязвимостей, обнаруженных группой, позволила бы хакерам создать червя, который крадет файлы iCloud людей, прежде чем заражать учетные записи iCloud их контактов. Уязвимость связана с тем, что Apple Mail поддерживается iCloud. Хакеры в белых шляпах смогли скомпрометировать учетные записи iCloud после отправки электронного письма iCloud.com адрес электронной почты, содержащий вредоносный код.

Apple исправила все уязвимости вскоре после того, как о них сообщили, сказал Карри.

В процессе поиска ошибок Карри и его команда получили представление о масштабных масштабах онлайн-инфраструктуры Apple. Apple владеет более чем 25 000 веб-серверов, которые подпадают под Apple.com, iCloud.com, и более 7000 других уникальных доменов, обнаружили исследователи. Многие из уязвимостей были обнаружены путем поиска через неизвестные веб-серверы, принадлежащие Apple, как и ее выдающийся сайт преподавателей.

Эксперты по кибербезопасности, проанализировавшие результаты исследования команды Карри, заявили, что, хотя некоторые из серьезных уязвимостей вызывают беспокойство, они отражают внутренние проблемы, которые следует ожидать от компании, поддерживающей такую огромную онлайн-инфраструктуру.

"Широта проблем, выявленных в рамках обширного присутствия Apple в интернете ... на самом деле это больше свидетельствует о том, как трудно оставаться в курсе всех проблем безопасности по мере роста организаций, чем негативное отражение любой практики безопасности внутри Apple", - сказал Business Insider Тим Макки, главный стратег по безопасности в Исследовательском центре кибербезопасности Synopsys.

В заявлении для Business Insider Apple заявила, что высоко ценит работу хакеров в белых шляпах, добавив, что уязвимости были исправлены и нет никаких доказательств того, что они были использованы злоумышленниками.

"В Apple мы бдительно защищаем наши сети и имеем специальные команды специалистов по информационной безопасности, которые работают над обнаружением и реагированием на угрозы. Как только исследователи предупредили нас о проблемах, которые они подробно описывают в своем отчете, мы немедленно исправили уязвимости и приняли меры для предотвращения будущих проблем такого рода", - сказал представитель Apple. "Мы ценим наше сотрудничество с исследователями безопасности, чтобы помочь сохранить наших пользователей в безопасности, и мы благодарны команде за их помощь и вознаградим их из программы Apple Security Bounty."