Хакеры «в белой шляпе» предупредили Apple об уязвимостях в их инфраструктуре
10.10.2020 10:34
Категория: Технологии
Автор: Александр Болтрукевичalexander.boltrukevich@respectiva.pro
Группа [хороших] хакеров потратила месяцы, нацелившись на разрастающуюся онлайн-инфраструктуру Apple, и обнаружила множество уязвимостей, в том числе одну, которая позволила бы [плохим] хакерам красть файлы из учетных записей iCloud людей, о чем они объявили в своем блоге на этой неделе.
Они действовали как хакеры «в белой шляпе», то есть их цель заключалась в том, чтобы предупредить Apple об уязвимостях, а не в краже информации.
«Я никогда не работал над программой Apple bug bounty [речь о программе вознаграждения компании], поэтому я понятия не имел, чего ожидать, но решил, почему бы не попытать счастья и не посмотреть, что я смогу найти», - сказал возглавивший команду хакеров 20-летний Сэм Карри в своем блоге. «Несмотря на то, что не было никаких гарантий относительно выплат или понимания того, как работает программа, все участники команды сказали «да», и мы начали взламывать Apple».
Apple заплатила группе 288 500 долларов через свою программу вознаграждения за ошибки в обмен на раскрытие 55 уязвимостей, 11 из которых были помечены как «серьезные». Карри сказал, что после того, как Apple обработает и исправит все ошибки, о которых сообщила группа, их общая сумма может превысить 500 000 долларов.
Одна из самых вопиющих уязвимостей, обнаруженных группой, позволила хакерам создать «червя», который крадет файлы iCloud людей, прежде чем заражать учетные записи iCloud их контактов. Уязвимость связана с тем, что Apple Mail поддерживается iCloud. Хакеры в белой шляпе смогли взломать учетные записи iCloud после отправки электронного письма на адрес iCloud.com, содержащего вредоносный код.
По словам Карри, Apple устранила большинство уязвимостей вскоре после того, как о них было сообщено.
В процессе поиска ошибок Карри и его команда получили представление о масштабах сетевой инфраструктуры Apple. Исследователи обнаружили, что Apple владеет более 25 000 веб-серверов, которые относятся к Apple.com, iCloud.com и более 7 000 других уникальных доменов. Многие из уязвимостей были обнаружены путем поиска на малоизвестных веб-серверах, принадлежащих Apple, таких, как сайт Distinguished Educators.
Эксперты по кибербезопасности, изучавшие исследование команды Карри, заявили, что, хотя некоторые из серьезных уязвимостей вызывают беспокойство, они отражают присущие им проблемы, которых следует ожидать от компании, поддерживающей такую огромную онлайн-инфраструктуру.
Исследование показывает, что 30-минутные упражнения улучшают память
10.12.2024 12:34Состояние самых богатых в мире людей выросло более чем вдвое за последнее десятилетие
09.12.2024 14:26Новый мирный план: что предложил Трамп для завершения конфликта
07.12.2024 15:35Почему черви выползают на поверхность во время дождя?
02.12.2024 10:1420 лет спустя: как инвестиции в 1000 долларов превратились в миллионы
30.11.2024 08:11Как "Черная пятница" прошла путь от кризиса XIX века до дня массовых распродаж
Насколько вреден для здоровья трендовый напиток “Dirty Soda”?
5 суперфудов для осеннего меню
4 простых способа получить больше витамина D, когда дни становятся короче и темнее
10 стран с лучшим качеством жизни
Чем полезен кофе?
“Досыпание”в выходные дни может снизить риск сердечных заболеваний