黑客發(fā)現(xiàn)55個(gè)蘋果漏洞 獲賞金超5萬(wàn)美元
該黑客團(tuán)隊(duì)花了3個(gè)月的時(shí)間,對(duì)蘋果平臺(tái)和服務(wù)進(jìn)行黑客攻擊,發(fā)現(xiàn)一系列弱點(diǎn)。他們?nèi)绱嗣枋觯?/span>
在我們的參與過(guò)程中,在蘋果基礎(chǔ)設(shè)施的核心部分發(fā)現(xiàn)了各種漏洞,這些漏洞將允許攻擊者完全入侵客戶和員工的應(yīng)用程序,甚至啟動(dòng)一個(gè)能夠自動(dòng)接管受害者的iCloud賬戶的蠕蟲,檢索蘋果內(nèi)部項(xiàng)目的源代碼,完全入侵蘋果使用的工業(yè)控制倉(cāng)庫(kù)軟件,并接管蘋果員工的會(huì)話,并能夠訪問(wèn)管理工具和敏感資源。
蘋果公司收到報(bào)告后迅速處理了大部分漏洞,有些漏洞在短短幾個(gè)小時(shí)內(nèi)就得到了解決。
總的來(lái)說(shuō),蘋果公司對(duì)我們的報(bào)告反應(yīng)非常迅速。對(duì)于我們比較重要的報(bào)告,從提交到修復(fù)的時(shí)間只有四個(gè)小時(shí)。
作為蘋果公司安全賞金計(jì)劃的一部分,該小組的一些工作能夠獲得可觀的報(bào)酬。截至10月4日周日,他們已經(jīng)收到了四筆款項(xiàng),共計(jì)51500美元。其中包括披露iCloud用戶全名的5000美元,發(fā)現(xiàn)IDOR漏洞的6000美元,進(jìn)入企業(yè)內(nèi)部環(huán)境的6500美元,以及發(fā)現(xiàn)包含客戶數(shù)據(jù)的系統(tǒng)內(nèi)存泄露的34000美元。
由于沒(méi)有人真正了解他們的bug賞金計(jì)劃,所以我們幾乎是在進(jìn)入一個(gè)未知的領(lǐng)域,投入了如此大的時(shí)間。蘋果與安全研究人員合作的歷史很有趣,但他們的漏洞披露計(jì)劃似乎是在與黑客合作保護(hù)資產(chǎn)安全、讓感興趣的人發(fā)現(xiàn)并報(bào)告漏洞的正確方向上邁出了一大步。
自去年以來(lái),蘋果一直在積極投資其漏洞賞金計(jì)劃?,F(xiàn)在,安全研究人員根據(jù)安全漏洞的性質(zhì)和嚴(yán)重程度,每個(gè)漏洞最高可以獲得100萬(wàn)美元的獎(jiǎng)勵(lì)。
在得到蘋果安全團(tuán)隊(duì)的許可后,該小組發(fā)布了一份內(nèi)容廣泛的報(bào)告,其中詳細(xì)介紹了一系列漏洞以及定位和利用弱點(diǎn)的方法。他們還暗示,更多的懸賞可能會(huì)在路上。