Исследователи безопасности месяцами взламывали Apple — вот что они обнаружили

Команда исследователей безопасности провела три месяца, взламывая Apple, обнаружила множество уязвимостей в цифровой инфраструктуре компании и получила вознаграждения на общую сумму более 50 000 долларов.

Технический гигант из Купертино поддерживает программу поощрения ошибок, которая платит исследователям безопасности за обнаруженные уязвимости. Как отмечает исследователь Сэм Карри, ранее он думал, что Apple выплачивает награды только за проблемы, связанные с физическими продуктами, такими как iPhone.

Но в июле Карри заметил, что награды, по-видимому, доступны и для веб-инфраструктуры. Согласно странице программы Apple bug bounty, компания платит за уязвимости, которые «оказывают значительное влияние на пользователей». Затем Карри нанял команду коллег-исследователей в области безопасности — Бретта Буэрхауса, Бен Садегипура, Сэмюэля Эрба и Таннера Барнса — и начал тщательно изучать системы Apple.

После трех месяцев сканирования систем Apple и тестирования различных эксплойтов команда обнаружила в общей сложности 55 уязвимостей разной степени серьезности. По крайней мере, 11 были оценены как критические, а 29 — как серьезные.

«В ходе нашего взаимодействия мы обнаружили множество уязвимостей в основных частях их инфраструктуры, которые позволили бы злоумышленнику полностью скомпрометировать приложения как клиентов, так и сотрудников, запустить червя, способного автоматически захватить учетную запись iCloud жертвы, получить исходный код для внутренние проекты Apple, полностью скомпрометировать программное обеспечение производственного склада управления, используемое Apple, и взять на себя сеансы сотрудников Apple с возможностью доступа к инструментам управления и конфиденциальным ресурсам.

Команда не смогла подробно раскрыть все обнаруженные ими недостатки, но Карри предоставил описания некоторых из наиболее интересных уязвимостей. Раскрытие информации включает полный компромисс Программы выдающихся преподавателей Apple; атака с использованием межсайтовых сценариев, которая может позволить хакерам украсть данные пользователя iCloud по электронной почте; и уязвимость, которая могла позволить злоумышленникам поставить под угрозу внутреннюю инвентаризацию и складскую систему Apple.

На протяжении всего процесса Карри сказал, что сотрудники Apple по безопасности продуктов очень отзывчивы. Среднее время обработки критических отчетов о безопасности составляло около четырех часов между отправкой и исправлением. Как правило, недостатки исправлялись в течение одного-двух рабочих дней, а некоторые из них — всего за четыре-шесть часов.

По состоянию на 4 октября команда получила четыре вознаграждения на общую сумму 51 500 долларов за некоторые уязвимости и ожидает, что Apple отправит платеж за еще более серьезные недостатки.

Карри сказал, что они получили разрешение от службы безопасности продуктов Apple на публикацию информации об уязвимостях и «делают это по своему усмотрению».

«Все уязвимости, раскрытые здесь, были исправлены и повторно протестированы. Пожалуйста, не раскрывайте информацию, относящуюся к безопасности Apple, без их разрешения», — отмечает Карри.

Исследователи безопасности отмечают, что они вошли в проект вслепую, поскольку информация о программе Apple bug bounty нечеткая. «Мы в значительной степени шли к неизведанному [sic] территория с такими большими затратами времени », — написал Карри.

«У Apple была интересная история работы с исследователями безопасности, но похоже, что их программа раскрытия уязвимостей — огромный шаг в правильном направлении к работе с хакерами в обеспечении безопасности активов и предоставлении возможности тем, кто заинтересован, находить уязвимости и сообщать о них», — написал Карри.