Исследователь безопасности из Индии был награжден 5 000 долларов от Apple через программу вознаграждения за обнаружение ошибок после обнаружения ошибки межсайтового скриптинга (XSS) в iCloud. С момента обнаружения проблемы Apple исправила проблему на сайте iCloud.com.
Уязвимость, обнаруженная Вишалом Бхарадом, заключалась в создании файла в Pages или Keynotes на веб-сайте iCloud, являющемся частью пакета Apple iWork. Файл был создан с определенным именем, содержащим желаемую полезную нагрузку XSS.
После отправки файла другому пользователю или совместной работы с ним злоумышленник должен был внести изменения в документ и сохранить его, сообщил исследователь в своем блоге. Изменение «Просмотреть все версии» в настройках запускает запуск полезной нагрузки XSS на устройстве другого пользователя.
Об этой ошибке Apple известно довольно давно, и Бахрад сообщил о ней компании 7 августа 2020 года. После изучения отчета и шагов по воспроизведению, а также видео, демонстрирующего ошибку, Apple присудила Бхараду $ 5000 на 9 октября. 14 февраля Бхарад публично раскрыл недостаток.
Исследователь признал, что ошибка была обнаружена во время рыбалки, чтобы попытаться выявить хотя бы одну проблему с веб-сайтом iCloud. Не сумев найти проблемы в таких областях, как ошибки CSRF, IDOR и бизнес-логики, Бхарад затем перешел к поиску ошибок XSS, что является слабым местом для исследователя.
Затем они «вставили полезные данные повсюду», чтобы найти способы просмотреть и запустить полезные данные, которые ранее не были обнаружены, что им в конечном итоге удалось выполнить.
В четверг Apple опубликовала подробное руководство по механизмам безопасности, включенным в ее программные и аппаратные продукты. Это включало обновления функций безопасности, относящихся к чипу M1, механизму песочницы iMessage под названием BlastDoor и его программе вознаграждения за ошибки.
Apple открыла свою программу поощрения ошибок для всех исследователей в 2019 году, одновременно увеличивая ставки оплаты за обнаруженные ошибки до потолка в 1 миллион долларов в ограниченных случаях. Прибыльные награды привлекли многих, чтобы взяться за безопасность Apple.
Одна уязвимость «Войти через Apple», обнаруженная в мае 2020 года, принесла ее первооткрывателю 100 000 долларов, в то время как группа исследователей провела три месяца, взламывая Apple, и в октябре заработала более 50 000 долларов.
10 февраля выяснилось, что исследователь безопасности взломал внутренние системы нескольких крупных компаний, включая Apple, Microsoft и PayPal. Они заработали более 130 000 долларов в виде вознаграждений за ошибки, из которых Apple внесла 30 000 долларов.
