Группа белых хакеров обнаружила в сервисах Apple 55 уязвимостей
9 октября 2020 года
«Когда мы начали это исследование, мы понятия не имели, что на его реализацию потребуется чуть больше трех месяцев. Изначально мы задумывали его как побочный проект, над которым мы будем периодически работать, но благодаря свободному времени из-за пандемии, каждый из нас потратил на него несколько сотен часов», — пишет Карри.
По словам хакера, его команде удалось обнаружить проблемы с безопасностью в ключевой инфраструктуре некоторых приложений Apple.
Apple быстро откликнулась и сразу же занялась устранением проблем. Некоторые уязвимости были закрыты всего через четыре часа после того, как о них стало известно. Общая сумма полученных ими денежных средств составила $51 500. Сюда входит $5000 за обнаружение уязвимости, позволяющей узнать полное имя пользователя iCloud, $6000 за уязвимость IDOR (Insecure Direct Object Reference — небезопасные прямые ссылки на объекты), $6500 за способ получения доступа к внутренним корпоративным средам и $34 000 за обнаружение утечек системной памяти с данными пользователей.
Спустя несколько часов после публикации на портале, Apple увеличила сумму выплаты — до $288 500 на пятерых. Сэм Карри подтвердил, что «Apple» рассчиталось с хакерами за 32 из 55 найденных багов.
Самая опасная обнаруженная уязвимость позволяет злоумышленнику в автоматическом режиме похищать фотографии, видео и документы из iCloud-аккаунта жертвы, а также список ее контактов.
С разрешения службы безопасности Apple исследователи опубликовали развёрнутый отчёт, в котором подробно описаны найденные уязвимости, методы их обнаружения и возможности использования.
В прошлом году специалисты по компьютерной безопасности из Google заявили, что тысячи устройств iPhone были взломаны при использовании уязвимости, которая наблюдалась почти в каждой версии от iOS 10 до последней версии iOS 12. Команда Project Zero, являющаяся подразделением Google, которое пытается находить и сообщать об уязвимостях безопасности в популярных системах, подтвердила, что они нашли доказательства попыток массового взлома iPhone, от которых с высокой долей вероятности могли пострадать тысячи людей за последние пару лет.
Источники
править| Эта статья содержит материалы из статьи «Группа "белых хакеров" обнаружила в сервисах Apple 55 уязвимостей», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
