Home Apple hírek Komoly jutalmat kaptak az Apple szervereire betörő etikus hackerek

Komoly jutalmat kaptak az Apple szervereire betörő etikus hackerek

A 20 évesekből álló hackercsapat 55 sebezhetőséget talált az Apple hálózatában, ezek közül 11 kritikus volt. Az Apple befoltozta a rést, és megköszönte a munkát, ahogy szokás, pénzjutalommal, ami ez esetben 288 ezer dollár, azaz mintegy 90 millió forint. De ez csak a fizetség egyik fele.

Hónapokig fenyegette az Apple vállalati számítógépes hálózatát olyan feltörések veszélye, amelyek során érzékeny adatokat lophattak volna el ügyfelek millióitól és rosszindulatú kódokat küldhettek volna a telefonjaikra és számítógépeikre.

Sam Curry, a webhelyek biztonságával foglalkozó húszéves szakértő elmondta, hogy ő és csapata összesen 55 sebezhetőséget talált. Közülük 11-et kritikusnak minősített, mert lehetővé tették volna számukra, hogy átvegye az Apple alapvető infrastruktúrájának irányítását, és onnan ellophasson privát e-maileket, iCloud-adatokat és egyéb személyes információkat.

Az Apple azonnal kijavította a sebezhetőségeket, miután Curry jelentette őket, gyakran az első közlést követő néhány órán belül. A vállalat eddig feldolgozta a sebezhetőségek mintegy felét, és vállalta, hogy 288 500 dollárt fizet értük az etikus hackereknek. Miután az Apple befejezi az összes probléma kijavítását, Curry szerint a teljes összeg meghaladhatja a félmillió dollárt is. Ezzel az ötfős kutatócsapat fejenként 100 ezer dollárt (bő 30 millió forintot) kap majd a végén.

A legsúlyosabb kockázatok közé tartoztak a tárolt webhelyek közötti parancsfájlok biztonsági rései (általában XSS-ként rövidítve) a JavaScript-elemzőben, amelyeket a www.iCloud.com szerverei használnak. Mivel az iCloud szolgáltatást nyújt az Apple Mail számára, a hibát bárki kihasználhatja, aki egy iCloud.com vagy Mac.com címmel rendelkező felhasználónak rosszindulatú kódot tartalmazó e-mailt küld.

Veszélyben lehettek volna az Apple felhasználói a számítógépes hálózatukban lévő biztonsági rések miatt, ha az etikus hackercsapat nem fedezi fel azokatForrás: AFP/NurPhoto/Jaap Arriens

A célszemélynek elég csak megnyitnia az e-mailt a feltöréshez. Miután ez megtörtént, a rosszindulatú e-mailbe rejtett szkript lehetővé teszi a hacker számára, hogy a böngészőben az iCloud elérésekor a célja szerinti műveleteket hajtson végre, például a célszemély összes fényképét és névjegyét megkaphatja a támadó. Az eltárolt XSS sebezhetőség ráadásul felhasználóról felhasználóra is terjedhet a levél továbbküldésével.

Egy másik sérülékenység keretében az Apple Distinguished Educators felhasználók számára fenntartott webhelyén létezett egy olyan funkció, amely lehetővé tette a manuális hitelesítést, vagyis a támadó egyszerűen bejelentkezhetett a fiókba az alapértelmezett jelszóval, és ezzel teljesen megkerülhette a “Bejelentkezés Apple-lel” azonosítást. Az interfész felett a hackerek tetszőleges parancsokat hajthattak volna végre az ade.apple.com aldomaint vezérlő webszerveren, és hozzáférhettek volna a felhasználói fiókok hitelesítő adatokat tároló belső LDAP szolgáltatáshoz. Ezzel elérhették volna az Apple belső hálózatának nagy részét.

Curry csapata összesen 55 sérülékenységet talált és jelentett, amelyek súlyossága 11 kritikusnak, 29 magas, 13 közepes és kettő alacsonynak minősült.

Curry és csapata az Apple bug-bounty programja keretében nyújtották be a megfigyeléseik eredményét. Válaszul kaptak egy e-mailt, mely szerint előbb 51 ezer, majd a további bejelentések után 237 ezer dollárt fizetnek a sebezhetőségek felfedezéséért.

„Furcsa sokkos állapotban vagyok most”- mondta Curry. „Soha nem láttam még ekkora fizetést. A csoportunkból mindenki egy kicsit meg van még zakkanva.”

Az Apple képviselője azt nyilatkozta a hír kapcsán, hogy „az Apple-nél éberen védjük hálózatainkat, és elkötelezett információbiztonsági szakembercsoportok állnak rendelkezésünkre, amelyek a fenyegetések észlelésén és azok kezelésén dolgoznak. Amint a kutatók figyelmeztettek bennünket a jelentésükben részletezett kérdésekre, azonnal kijavítottuk a sebezhetőségeket, és lépéseket tettünk az ilyen jellegű jövőbeli kérdések megakadályozása érdekében. Naplóink alapján a kutatók elsőként fedezték fel a sebezhetőségeket, ezért egyetlen felhasználói adattal sem éltek vissza. “

Forrás: Arstechnica.com

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Most Popular

Tízből kilenc: ennyire nagy a frissítési kedv az iPhone-osoknál

Bár még csak néhány hónapja érhető el az iOS 14, az alkalmas okostelefonok 90 százaléka már azt futtatja. Markáns különbség az iOS-es és...

Samsung Galaxy felület kipróbálása iPhone-on, egyszerűen | Techwok

Ha valaki folyamatosan olvas minket, bizonyára belefutott már néhány olyan cikkbe, amelyben régi játékok, és különféle operációs rendszerek (például DOS, Windows 98, BeOS stb.) böngészőben történő kipróbálásáról...

Az iPhone 12 5G menti meg az Apple-t? – Telefonguru hír

Az iPhone 12 5G segíthet az Apple-nek, hogy 2021-ben 240 millió iPhone-t adjon el. 2020 negyedik negyedévében az Apple rekordszámú iPhone-t szállított, és úgy...

Hangra induló mini hangrögzítő és Voice Memo applikáció az Apple-től

Ebben a cikkben bemutatunk egy méltán kedvelt hangrögzítő vagy mini diktafon eszközt, és az Apple szintén népszerű Voice Memo alkalmazását. Bár...

Recent Comments