Egy biztonsági kutatócsoport három hónapot töltött az Apple rendszereinek feltörésével. Munkájuk nem volt hiábavaló, rengeteg sebezhetőséget fedeztek fel a vállalat digitális infrastruktúrájában, amiért több mint 50 000 dollár jutalmat zsebelhettek be.
A cupertinói technológiai óriás hibavadász programot tart fenn, amely fizet a biztonsági rések után kutatóknak, ha feltárják az egyes sebezhetőségekért. Ahogy Sam Curry kutató megjegyzi, korábban úgy gondolta, hogy az Apple csak azért fizetett jutalmat, ha olyan fizikai termékeket érintő problémákat tártak fel, mint az iPhone sebezhetőségei.
De júliusban Curry észrevette, hogy a webes infrastruktúrához is rendelkezésre állnak különböző jutalmak. Az Apple hibavadász programoldala szerint a vállalat a “felhasználókra jelentős hatást gyakorló” sebezhetőségek megtalálásáért is fizet. Ezután Curry felvett néhány biztonsági kutatótársat – Brett Buerhaust, Ben Sadeghipourt, Samuel Erböt és Tanner Barnest -, és megkezdték az Apple rendszereinek vizsgálatát.
Három hónapnyi vizsgálódás és exploit-tesztelés után a csapat összesen 55 különböző súlyosságú sebezhetőséget talált. Legalább 11-et kritikusnak, 29-et pedig súlyosnak minősítettek.
Munkánk során számos sérülékenységet találtunk infrastruktúrájuk alapvető részeiben, amelyek lehetővé tették a támadók számára, hogy teljes mértékben veszélyeztessék mind az ügyfél, mind pedig alkalmazotti oldalról az alkalmazásokat, elindítsanak egy férget, amely képes automatikusan átvenni az áldozat iCloud-fiókja felett az irányítást, és képes lekérni az Apple belső projektjeinek forráskódját, illetve teljes mértékben veszélyezteti az Apple által használt ipari vezérlő raktárszoftvert, és átveszi az Apple alkalmazottainak munkameneteit a kezelőeszközökhöz és az érzékeny erőforrásokhoz való hozzáféréssel együtt.
A folyamat során Curry elmondta, hogy az Apple termékbiztonsági munkatársai nagyon segítőkészek voltak. A kritikus biztonsági jelentések átlagos átfutási ideje körülbelül négy óra volt a benyújtás és a helyreállítás között. Jellemzően a hibákat egy-két munkanapon belül javították, némelyikük pedig négy-hat órán belül javult.
Október 4-én a csapat négy jutalmat is kapott, összesen 51 500 dollár értékben a sebezhetőségek egy részéért, és arra számítanak, hogy az Apple a még biztosan a zsebébe nyúl a kritikusabb hibák feltárásáért is.
Forrás és borítókép: Sam Curry
