Группа "белых хакеров" обнаружила в сервисах Apple 55 уязвимостей

[Artifact]

Общая сумма вознаграждения за обнаруженные уязвимости составила 288000$.

Группа «белых хакеров» в течение трех месяцев взламывала сервисы Apple, чтобы выявить слабые места в их системе безопасности. Исследователи выявили 55 уязвимостей, часть из которых можно отнести к критическим.
«Когда мы начали это исследование, мы понятия не имели, что на его реализацию потребуется чуть больше трех месяцев. Изначально мы задумывали его как побочный проект, над которым мы будем периодически работать, но благодаря свободному времени из-за пандемии, каждый из нас потратил на него несколько сотен часов», — пишет Карри.
По словам хакера, его команде удалось обнаружить проблемы с безопасностью в ключевой инфраструктуре некоторых приложений Apple.
Apple быстро откликнулась и сразу же занялась устранением проблем. Некоторые уязвимости были закрыты всего через четыре часа после того, как о них стало известно. Общая сумма полученных ими денежных средств составила $51 500. Сюда входит $5000 за обнаружение уязвимости, позволяющей узнать полное имя пользователя iCloud, $6000 за уязвимость IDOR (Insecure Direct Object Reference — небезопасные прямые ссылки на объекты), $6500 за способ получения доступа к внутренним корпоративным средам и $34 000 за обнаружение утечек системной памяти с данными пользователей.
Спустя несколько часов после публикации на портале, Apple увеличила сумму выплаты — до $288 500 на пятерых. Сэм Карри подтвердил, что «Apple» рассчиталось с хакерами за 32 из 55 найденных багов.
Самая опасная обнаруженная уязвимость позволяет злоумышленнику в автоматическом режиме похищать фотографии, видео и документы из iCloud-аккаунта жертвы, а также список ее контактов.
С разрешения службы безопасности Apple исследователи опубликовали https://samcurry.net/hacking-apple/ , в котором подробно описаны найденные уязвимости, методы их обнаружения и возможности использования.
В прошлом году специалисты по компьютерной безопасности из Google заявили, что тысячи устройств iPhone были взломаны при использовании уязвимости, которая наблюдалась почти в каждой версии от iOS 10 до последней версии iOS 12. Команда Project Zero, являющаяся подразделением Google, которое пытается находить и сообщать об уязвимостях безопасности в популярных системах, подтвердила, что они нашли доказательства попыток массового взлома iPhone, от которых с высокой долей вероятности могли пострадать тысячи людей за последние пару лет.