Группа хакеров получила от Apple 288 500 долларов за то, что сообщила компании о 55 багах, в том числе об одной серьезной уязвимости

Группа [хороших] хакеров потратила месяцы, нацелившись на разрастающуюся онлайн-инфраструктуру Apple, и обнаружила множество уязвимостей, в том числе одну, которая позволила бы [плохим] хакерам красть файлы из учетных записей iCloud людей, о чем они объявили в своем блоге на этой неделе.

Они действовали как хакеры «в белой шляпе», то есть их цель заключалась в том, чтобы предупредить Apple об уязвимостях, а не в краже информации. 

«Я никогда не работал над программой Apple bug bounty [речь о программе вознаграждения компании], поэтому я понятия не имел, чего ожидать, но решил, почему бы не попытать счастья и не посмотреть, что я смогу найти», - сказал возглавивший команду хакеров 20-летний Сэм Карри в своем блоге. «Несмотря на то, что не было никаких гарантий относительно выплат или понимания того, как работает программа, все участники команды сказали «да», и мы начали взламывать Apple».

Apple заплатила группе 288 500 долларов через свою программу вознаграждения за ошибки в обмен на раскрытие 55 уязвимостей, 11 из которых были помечены как «серьезные». Карри сказал, что после того, как Apple обработает и исправит все ошибки, о которых сообщила группа, их общая сумма может превысить 500 000 долларов.

Одна из самых вопиющих уязвимостей, обнаруженных группой, позволила хакерам создать «червя», который крадет файлы iCloud людей, прежде чем заражать учетные записи iCloud их контактов. Уязвимость связана с тем, что Apple Mail поддерживается iCloud. Хакеры в белой шляпе смогли взломать учетные записи iCloud после отправки электронного письма на адрес iCloud.com, содержащего вредоносный код.

По словам Карри, Apple устранила большинство уязвимостей вскоре после того, как о них было сообщено.

В процессе поиска ошибок Карри и его команда получили представление о масштабах сетевой инфраструктуры Apple. Исследователи обнаружили, что Apple владеет более 25 000 веб-серверов, которые относятся к Apple.com, iCloud.com и более 7 000 других уникальных доменов. Многие из уязвимостей были обнаружены путем поиска на малоизвестных веб-серверах, принадлежащих Apple, таких, как сайт Distinguished Educators.

Эксперты по кибербезопасности, изучавшие исследование команды Карри, заявили, что, хотя некоторые из серьезных уязвимостей вызывают беспокойство, они отражают присущие им проблемы, которых следует ожидать от компании, поддерживающей такую огромную онлайн-инфраструктуру.