Группа из пяти исследователей потратила три месяца  и сотни человеко-часов на поиски уязвимостей на сайтах Apple. В эту команду входили: Сэм Карри (Sam Curry), Бретт Буерхаус (Brett Buerhaus), Бен Садегипур (Ben Sadeghipour), Сэмюэль Эрб (Samuel Erb), а также Таннер Барнс (Tanner Barnes).

О произошедшем на страницах своего блога на этой неделе поведал глава команды, 20-летний Сэм Карри. Он рассказывает, что изначально поиск багов должен быть стать небольшим побочным проектом, над которым исследователи хотели поработать, если у них будет свободное время. Вскоре в эти планы внесла свои коррективы пандемия коронавируса, свободного времени у группы оказалось много, а на исследование в итоге были потрачены сотни человеко-часов. Карри признается, что вначале команда даже не помышляла о том, что в итоге все это займет целых три месяца.

В итоге исследователи сумели обнаружить в онлайн-сервисах Apple 55 различных уязвимостей, включая 11 критических. К примеру, одна из наиболее серьезных ошибок, позволяла атакующему создать червя, который автоматически похищал все фотографии, видео и документы из чужой учетной записи iCloud, а затем проделывал то же самое со всеми контактами жертвы. PoC-демострацию этой атаки можно увидеть ниже.

Более того, исследователи пишут, что могли также получить доступ к репозиторию исходного кода Apple, «святому Граалю», где компания хранит исходники «сотен различных приложений для iOS и macOS».

Перечислим 11 критических багов, обнаруженных исследователями:

• удаленное выполнение произвольного кода через обход авторизации и аутентификации;


• обход аутентификации с помощью неправильно настроенных разрешений обеспечивает атакующему доступ глобального администратора;


• инъекции команд через некорректно очищенный аргумент имени файла;


• удаленное выполнение произвольного кода через утечку секрета и оставленного открытым инструмента для администраторов;


• утечка памяти, приводящая к компрометации учетных записей сотрудников и пользователей, а также открывающая доступ к различным внутренним приложениям;


• SQL-инъекции Vertica посредством некорректной очистки ввода;


• хранимая XSS с потенциалом червя, позволяющая полностью скомпрометировать учетную запись iCloud жертвы;


• SSRF, позволяющая получить доступ к внутренним исходникам и защищенным ресурсам;


• слепая XSS, позволяющая получить доступ к внутреннему порталу поддержки для отслеживания проблем клиентов и сотрудников;


• выполнение PhantomJS на стороне сервера, позволяющее получить доступ к внутренним ресурсам и ключам AWS IAM.

Хотя учитывая среднюю стоимость уязвимостей в продуктах Apple, можно было бы подумать, что исследователи сорвали большой куш, на деле все вышло иначе. Карри писал, что компания оперативно исправила все найденные баги, но выплатила специалистам лишь 55 100 долларов США. То есть примерно 250 долларов за одну уязвимость на человека или 17 171 доллар в месяц на каждого исследователя.

Издание Vice Motherboard цитирует главу компании Phobos Дэна Тентелра (Dan Tentler), который убежден, что «это невероятно мало»:

Эту точку зрения, однако, не разделяет ветеран кибербезопасности Кэти Моуссурис (Katie Moussouris). Основательница Luta Security наиболее известна тем, что координирует bug bounty программы для Microsoft, Symantec и Пентагона. По ее словам, размер выплат вполне мог быть справедливым.

Тем временем, бывшие сотрудники Apple шутили в Twitter, что bug bounty – это лишь способ привлечения дешевой рабочей силы.

Нужно сказать, что с самого начала Карри подчеркивал в блоге, что, скорее всего, в ближайшие месяцы его команда получит больше выплат. Он писал, что устранить 55 багов и обработать все эти отчеты определенно труднее, чем исправить 1-2 уязвимости. Исследователь сетовал лишь на то, что расстроен из-за отсутствия информации об этом процессе, но в целом остался доволен bug bounty.

Вскоре после того как эта история попала на страницы западных СМИ, представители Apple отреагировали на произошедшее и прокомментировали ситуацию. Так, компания еще раз поблагодарила исследователей за работу, а выплаты Карри и его коллегам быстро возросли до 288 500, причем пока Apple оплатила лишь 32 ошибки из 55 найденных.

Фото: Sam Curry

Теги: CSS