Μια ομάδα χάκερ έλαβε περισσότερα από 50.000 $ από την Apple επειδή κατάφερε ν’ ανακαλύψει 55 ευπάθειες στο σύστημα της!
Οι Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb και Tanner Barnes πέρασαν 3 μήνες “δουλεύοντας” πάνω σε διάφορες πλατφόρμες και υπηρεσίες της Apple και ανακάλυψαν μια σειρά τρωτών σημείων. Οι 55 ευπάθειες που ανακάλυψε η ομάδα ποικίλλουν σε σοβαρότητα, μερικές από τις οποίες είναι πολύ σοβαρές.
Αναφέρεται ότι ορισμένες από τις προαναφερθείσες ευπάθειες θα επιτρέψουν στους εισβολείς να εισβάλουν εντελώς στις εφαρμογές πελατών και υπαλλήλων, να ξεκινήσουν ένα σκουλήκι(worm) που μπορεί να αναλάβει αυτόματα τον λογαριασμό iCloud του θύματος, να ανακτήσει τον πηγαίο κώδικα των εσωτερικών έργων της Apple και να εισβάλει εντελώς σε ένα λογισμικό αποθήκης βιομηχανικού ελέγχου που χρησιμοποιείται από την Apple. Μέσω άλλων ευπαθειών που βρέθηκαν, θα μπορούσε κάποιος ν’ αναλάβει τις συνεδρίες υπαλλήλων της Apple και ν’ αποκτήσει πρόσβαση σε εργαλεία διαχείρισης και ευαίσθητους πόρους.
Η Apple αντιμετώπισε γρήγορα τις περισσότερες ευπάθειες και μερικές επιλύθηκαν σε λίγες ώρες.
Ως μέρος του προγράμματος ασφαλείας της Apple, ορισμένα από τα έργα της ομάδας μπορούν να πληρωθούν με αρκετά χρήαμτα. Από την Κυριακή, 4 Οκτωβρίου, έχουν λάβει τέσσερις πληρωμές συνολικού ύψους 51.500 $. Αυτά περιλαμβάνουν 5.000 $ για την αποκάλυψη του πλήρους ονόματος των χρηστών iCloud, 6.000 $ για την ανακάλυψη τρωτών σημείων IDOR, 6.500 $ για είσοδο στο εσωτερικό περιβάλλον της επιχείρησης και 34.000 $ για την ανακάλυψη διαρροών μνήμης συστήματος που περιέχουν δεδομένα πελατών.
Το iTechNews.gr έμαθε ότι από πέρυσι, η Apple επενδύει ενεργά στο πρόγραμμα bug bounty. Τώρα, σύμφωνα με τη φύση και τη σοβαρότητα των τρωτών σημείων ασφαλείας, οι ερευνητές ασφάλειας μπορούν να λάβουν έως και 1 εκατομμύριο δολάρια σε ανταμοιβές για κάθε ευπάθεια.
Αφού έλαβε άδεια από την ομάδα ασφαλείας της Apple, η ομάδα δημοσίευσε μια αναφορά που περιγράφει μια σειρά από ευπάθειες και μεθόδους εντοπισμού και εκμετάλλευσης αδυναμιών. Επίσης, υπαινίχθηκαν ότι ενδέχεται να προκύψουν περισσότερες ανταμοιβές.
[signoff]
Πηγή: https://www.ithome.com/
