Categories
科技報導

一群黑客發現了55個與Apple產品相關的漏洞,並贏得了超過50,000美元的獎勵。



一組黑客因發現Apple系統中的55個漏洞而獲得了超過50,000美元的驅蟲獎勵。 Sam Curry,Brett Buerhaus,Ben Sadeghipour,Samuel Erb和Tanner Barnes用了三個月的時間破解了蘋果平台和服務,發現了一系列缺陷。 團隊發現的55個漏洞的嚴重程度各不相同,其中一些非常嚴重,如下所述:

一群黑客發現了55個與Apple產品相關的漏洞,並贏得了超過50,000美元的獎勵。 1

在我們的參與過程中,蘋果基礎設施的核心部分發現了各種漏洞。 這些漏洞將使攻擊者能夠完全入侵客戶和員工的應用程序,甚至發起一種蠕蟲,該蠕蟲可以自動接管受害者的iCloud帳戶。 蘋果公司內部項目的源代碼完全入侵了蘋果公司使用的工業控制倉庫軟件,接管了蘋果公司的員工會議,並且能夠訪問管理工具和敏感資源。

Apple收到報告後迅速處理了大多數漏洞,並且僅在幾個小時內就解決了一些漏洞。

總的來說,蘋果公司對我們的報告反應很快。 對於我們更重要的報告,從提交到修復的時間僅四個小時。

作為蘋果安全賞金計劃的一部分,該小組的某些工作可以得到可觀的報酬。 截至10月4日星期日,他們已收到四筆款項,共計$ 51,500。 其中包括用於披露iCloud用戶全名的$ 5,000,用於發現IDOR漏洞的$ 6,000,用於進入企業內部環境的$ 6,500和用於發現包含客戶數據的系統內存洩漏的$ 34,000。

由於沒有人真正了解他們的錯誤賞金計劃,因此我們幾乎要進入一個未知領域,並投入大量時間。 蘋果公司與安全研究人員合作的歷史很有趣,但是他們的漏洞披露程序似乎是朝著與黑客合作以保護資產安全並允許感興趣的各方發現和報告漏洞的正確方向邁出的一大步。

自去年以來,蘋果一直在積極投資其漏洞賞金計劃。 現在,根據安全漏洞的性質和嚴重性,安全研究人員可以為每個漏洞獲得最高100萬美元的獎勵。

在獲得Apple安全團隊的許可後,該團隊發布了一份詳盡的報告,詳細介紹了一系列漏洞和查找和利用弱點的方法。 他們還暗示可能還會有更多的回報。