Komoly jutalmat kaptak az Apple szervereire betörő etikus hackerek
The Apple logo is seen on an iPhone in this photo illustration on September 24, 2018. (Photo by Jaap Arriens/NurPhoto)
Nézze meg a sporthíreket is
Iratkozzon fel hírlevelünkre Nézze meg a sporthíreket is
Csatlakozzon hozzánk közösségi oldalainkon is!
A 20 évesekből álló hackercsapat 55 sebezhetőséget talált az Apple hálózatában, ezek közül 11 kritikus volt. Az Apple befoltozta a rést, és megköszönte a munkát, ahogy szokás, pénzjutalommal, ami ez esetben 288 ezer dollár, azaz mintegy 90 millió forint. De ez csak a fizetség egyik fele.
Hónapokig fenyegette az Apple vállalati számítógépes hálózatát olyan feltörések veszélye, amelyek során érzékeny adatokat lophattak volna el ügyfelek millióitól és rosszindulatú kódokat küldhettek volna a telefonjaikra és számítógépeikre.
Sam Curry, a webhelyek biztonságával foglalkozó húszéves szakértő elmondta, hogy ő és csapata összesen 55 sebezhetőséget talált. Közülük 11-et kritikusnak minősített, mert lehetővé tették volna számukra, hogy átvegye az Apple alapvető infrastruktúrájának irányítását, és onnan ellophasson privát e-maileket, iCloud-adatokat és egyéb személyes információkat.
Az Apple azonnal kijavította a sebezhetőségeket, miután Curry jelentette őket, gyakran az első közlést követő néhány órán belül. A vállalat eddig feldolgozta a sebezhetőségek mintegy felét, és vállalta, hogy 288 500 dollárt fizet értük az etikus hackereknek. Miután az Apple befejezi az összes probléma kijavítását, Curry szerint a teljes összeg meghaladhatja a félmillió dollárt is.
Ezzel az ötfős kutatócsapat fejenként 100 ezer dollárt (bő 30 millió forintot) kap majd a végén.
A legsúlyosabb kockázatok közé tartoztak a tárolt webhelyek közötti parancsfájlok biztonsági rései (általában XSS-ként rövidítve) a JavaScript-elemzőben, amelyeket a www.iCloud.com szerverei használnak. Mivel az iCloud szolgáltatást nyújt az Apple Mail számára, a hibát bárki kihasználhatja, aki egy iCloud.com vagy Mac.com címmel rendelkező felhasználónak rosszindulatú kódot tartalmazó e-mailt küld.
A célszemélynek elég csak megnyitnia az e-mailt a feltöréshez. Miután ez megtörtént, a rosszindulatú e-mailbe rejtett szkript lehetővé teszi a hacker számára, hogy a böngészőben az iCloud elérésekor a célja szerinti műveleteket hajtson végre, például a célszemély összes fényképét és névjegyét megkaphatja a támadó. Az eltárolt XSS sebezhetőség ráadásul felhasználóról felhasználóra is terjedhet a levél továbbküldésével.
Egy másik sérülékenység keretében az Apple Distinguished Educators felhasználók számára fenntartott webhelyén létezett egy olyan funkció, amely lehetővé tette a manuális hitelesítést, vagyis a támadó egyszerűen bejelentkezhetett a fiókba az alapértelmezett jelszóval, és ezzel teljesen megkerülhette a "Bejelentkezés Apple-lel" azonosítást. Az interfész felett a hackerek tetszőleges parancsokat hajthattak volna végre az ade.apple.com aldomaint vezérlő webszerveren, és hozzáférhettek volna a felhasználói fiókok hitelesítő adatokat tároló belső LDAP szolgáltatáshoz. Ezzel elérhették volna az Apple belső hálózatának nagy részét.
Curry csapata összesen 55 sérülékenységet talált és jelentett, amelyek súlyossága 11 kritikusnak, 29 magas, 13 közepes és kettő alacsonynak minősült.
Curry és csapata az Apple bug-bounty programja keretében nyújtották be a megfigyeléseik eredményét. Válaszul kaptak egy e-mailt, mely szerint előbb 51 ezer, majd a további bejelentések után 237 ezer dollárt fizetnek a sebezhetőségek felfedezéséért.
„Furcsa sokkos állapotban vagyok most"- mondta Curry. „Soha nem láttam még ekkora fizetést. A csoportunkból mindenki egy kicsit meg van még zakkanva."
Az Apple képviselője azt nyilatkozta a hír kapcsán, hogy „az Apple-nél éberen védjük hálózatainkat, és elkötelezett információbiztonsági szakembercsoportok állnak rendelkezésünkre, amelyek a fenyegetések észlelésén és azok kezelésén dolgoznak. Amint a kutatók figyelmeztettek bennünket a jelentésükben részletezett kérdésekre, azonnal kijavítottuk a sebezhetőségeket, és lépéseket tettünk az ilyen jellegű jövőbeli kérdések megakadályozása érdekében. Naplóink alapján a kutatók elsőként fedezték fel a sebezhetőségeket, ezért egyetlen felhasználói adattal sem éltek vissza. "
Forrás: Arstechnica.com
origo.hu
Hihetetlen fordulatot és drámai végjátékot hozott a Bayern-Real BL-elődöntő
ripost.hu
Marics Peti meglepő ajánlatot tett egy csinos szőkének
borsonline.hu
"Nincs még itt az az idő, hogy én tudnék erről beszélni tudjak" - zokogva nyilatkozott Majka felesége
hirtv.hu
Háború Ukrajnában és Izraelben: Még nagyobb sebességre kapcsolt az ukrán kényszersorozás + videó
ripost.hu
Most érkezett: dráma Budapesten, hajtóvadászatot indított a rendőrség
magyarnemzet.hu
Magából kikelve próbálta tagadni Niedermüller és veje a tagadhatatlant + videó
vg.hu
Példátlan támadás: Oroszország elzárt egy NATO-várost a légiközlekedéstől
nemzetisport.hu
Jégkorong: hosszú kényszerszünet után öt másodperc alatt nyerték meg az olaszok a hosszabbítást Japán ellen
origo.hu
Bugyiban is fotózták A sógun gyönyörű színésznőjét - itt vannak a legjobb privát képei
origo.hu
Itt van Putyin szövetségesének meglepő bejelentése
videa.hu
Alu paratha, a burgonyával töltött boldogságlepény -receptvideó ( hirdetés)
origo.hu
