Группа из пяти исследователей потратила три месяца  и сотни человеко-часов на поиски уязвимостей на сайтах Apple. В эту команду входили: Сэм Карри (Sam Curry), Бретт Буерхаус (Brett Buerhaus), Бен Садегипур (Ben Sadeghipour), Сэмюэль Эрб (Samuel Erb), а также Таннер Барнс (Tanner Barnes).

О произошедшем на страницах своего блога на этой неделе поведал глава команды, 20-летний Сэм Карри. Он рассказывает, что изначально поиск багов должен был стать небольшим побочным проектом, над которым исследователи хотели поработать, если у них будет свободное время. Вскоре в эти планы внесла свои коррективы пандемия коронавируса, свободного времени у группы оказалось много, а на исследование в итоге были потрачены сотни человеко-часов. Карри признается, что вначале команда даже не помышляла о том, что в итоге все это займет целых три месяца.

В итоге исследователи сумели обнаружить в онлайн-сервисах Apple 55 различных уязвимостей, включая 11 критических. К примеру, одна из наиболее серьезных ошибок, позволяла атакующему создать червя, который автоматически похищал все фотографии, видео и документы из чужой учетной записи iCloud, а затем проделывал то же самое со всеми контактами жертвы. PoC-демострацию этой атаки можно увидеть ниже.

Более того, исследователи пишут, что могли также получить доступ к репозиторию исходного кода Apple, «святому Граалю», где компания хранит исходники «сотен различных приложений для iOS и macOS».

INFO

Подробнее о том, как проходила атака, читай в статье «Взлом Apple»

Перечислим 11 критических багов, обнаруженных исследователями:

  • удаленное выполнение произвольного кода через обход авторизации и аутентификации;
  • обход аутентификации с помощью неправильно настроенных разрешений обеспечивает атакующему доступ глобального администратора;
  • инъекции команд через некорректно очищенный аргумент имени файла;
  • удаленное выполнение произвольного кода через утечку секрета и оставленного открытым инструмента для администраторов;
  • утечка памяти, приводящая к компрометации учетных записей сотрудников и пользователей, а также открывающая доступ к различным внутренним приложениям;
  • SQL-инъекции Vertica посредством некорректной очистки ввода;
  • хранимая XSS с потенциалом червя, позволяющая полностью скомпрометировать учетную запись iCloud жертвы;
  • SSRF, позволяющая получить доступ к внутренним исходникам и защищенным ресурсам;
  • слепая XSS, позволяющая получить доступ к внутреннему порталу поддержки для отслеживания проблем клиентов и сотрудников;
  • выполнение PhantomJS на стороне сервера, позволяющее получить доступ к внутренним ресурсам и ключам AWS IAM.

Хотя учитывая среднюю стоимость уязвимостей в продуктах Apple, можно было бы подумать, что исследователи сорвали большой куш, на деле все вышло иначе. Карри писал, что компания оперативно исправила все найденные баги, но выплатила специалистам лишь 55 100 долларов США. То есть примерно 250 долларов за одну уязвимость на человека или 17 171 доллар в месяц на каждого исследователя.

Издание Vice Motherboard цитирует главу компании Phobos Дэна Тентелра (Dan Tentler), который убежден, что «это невероятно мало»:

«Пятьдесят тысяч — это те деньги, которые я ожидал бы увидеть за двух-четырехнедельную оценку безопасности, однако проблемы, обнаруженные этими удивительно талантливыми людьми, стоят на несколько порядков дороже.

Представьте, если бы их обнаружили какие-нибудь правительственные хакеры. Представьте, насколько масштабным мог бы быть нанесенный ущерб. Apple дает понять, что для них все это стоит лишь 50 000. Для меня это безумие, это противоречит всем тем громким и публичным маркетинговым кампаниям, в которых [Apple] уверяет, что серьезно относится к конфиденциальности и безопасности».

Эту точку зрения, однако, не разделяет ветеран кибербезопасности Кэти Моуссурис (Katie Moussouris). Основательница Luta Security наиболее известна тем, что координирует bug bounty программы для Microsoft, Symantec и Пентагона. По ее словам, размер выплат вполне мог быть справедливым.

«Навыки, необходимые для поиска веб-уязвимостей, встречаются чаще, чем навыки, нужные для взлома мобильных устройств или iOS, — говорит Моуссурис. — Следуя этой логике, Apple резервирует более высокие выплаты на взлом своей основной ОС, а не взлом своих сайтов. При этом нет никаких сомнений в том, что они готовы заплатить за компрометацию данных в iCloud и другие проблемы.

Реальный вопрос заключается в том: могла ли Apple заплатить ту ​​же сумму профессиональным пентестерам, предоставив им всю нужную документацию, вместо того, чтобы тратить их время на изучение “черного ящика”, в итоге получить то же самое, но за гораздо меньшее время и ту же сумму».

Тем временем, бывшие сотрудники Apple шутили в Twitter, что bug bounty – это лишь способ привлечения дешевой рабочей силы.

Нужно сказать, что с самого начала Карри подчеркивал в блоге, что, скорее всего, в ближайшие месяцы его команда получит больше выплат. Он писал, что устранить 55 багов и обработать все эти отчеты определенно труднее, чем исправить 1-2 уязвимости. Исследователь сетовал лишь на то, что расстроен из-за отсутствия информации об этом процессе, но в целом остался доволен bug bounty.

Вскоре после того как эта история попала на страницы западных СМИ, представители Apple отреагировали на произошедшее и прокомментировали ситуацию. Так, компания еще раз поблагодарила исследователей за работу, а выплаты Карри и его коллегам быстро возросли до 288 500, причем пока Apple оплатила лишь 32 ошибки из 55 найденных.

Фото: Sam Curry

Оставить мнение