Especialistas descobrem métodos para hackear sistemas da Apple e a empresa paga US $ 1,5 milhão em recompensas | O blog Altieres Rohr

Uma equipe de cinco especialistas em segurança recebeu US $ 288.500 da Apple como recompensa por descobrir 55 vulnerabilidades nos serviços online da empresa. Dessas falhas, 11 foram classificadas como “críticas” e outras 29 foram de gravidade “alta”..

O quinteto de Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb e Tanner Barnes trabalhou de 6 de julho a 6 de outubro para analisar os serviços da Apple, utilizando as mesmas informações disponíveis para qualquer usuário. Ou seja, eles não tinham acesso privilegiado aos sistemas Apple.

Os pagamentos são o resultado do programa “bug bounty” da Apple. Nesse tipo de iniciativas – que hoje existem em várias empresas, entre elas Google, Facebook, Microsoft e Sony – a empresa se compromete a pagar por informações sobre falhas sem precedentes, desde que sejam comunicadas de forma discreta.

Deste modo, problemas podem ser corrigidos sem prejudicar os usuários, como aconteceu neste caso.

A Apple abriu seu programa de recompensas ao público no final de 2019, anunciando que pagaria apenas pelas lacunas relacionadas ao produto.

No entanto, especialistas publicaram relatórios de que a empresa está disposta a pagar por quaisquer defeitos que tenham um impacto significativo na segurança dos usuários, mesmo que não estejam ligados a produtos físicos, como o iPhone.

Sabendo que havia a possibilidade de serem pagos por falhas no serviço online, os especialistas começaram o trabalho.

“Durante nossa abordagem, encontramos uma variedade de vulnerabilidades em partes centrais de sua infraestrutura que permitiriam a um invasor comprometer completamente os aplicativos de clientes e funcionários”, escreveu Sam Curry, um dos membros do grupo que tornou as descobertas públicas.

Em termos mais concretos, Curry afirma que as falhas teriam permitido:

  • Jogue uma minhoca [praga digital que se executa automaticamente, passando de um usuário para outro] capaz de hackear contas do iCloud. Para tirar proveito dessa falha, o invasor só teria que convencer a vítima a abrir uma mensagem no iCloud Mail;
  • Obtenha o código-fonte para os projetos internos da Apple;
  • Comprometa o software de controle industrial usado pela Apple. Os pesquisadores descobriram que uma página de login autenticava o usuário sem credenciais usando o botão “Redefinir senha”; depois disso, eles conseguiram fazer o upload das permissões para atacar o sistema;
  • Faça sessões [chaves de logins realizados anteriormente] de funcionários da Apple autorizados a acessar ferramentas e recursos de gerenciamento confidenciais.

UMA A Apple corrigiu a maioria das falhas um ou dois após terem sido relatadas. Alguns lacunas críticas foram fechadas quatro a seis horas após o envio Notificação de especialista.

Todos os problemas divulgados publicamente por Curry agora foram corrigidos e a divulgação foi feita de acordo com a Apple, visto que as falhas não são mais um perigo.

Como a Apple faz pagamentos em lotes, o valor ainda pode aumentar. Os US $ 288.500 recebidos pelos especialistas vêm da soma de 32 pagamentos.

Perguntas sobre segurança, hackers e vírus? Enviar para [email protected]

VÍDEOS: Saiba mais sobre segurança digital

You May Also Like

About the Author: Gabriela Cerqueira Corrêa

"Solucionador de problemas do mal. Amante da música. Especialista certificado em cultura pop. Organizador. Guru do álcool. Fanático por café."

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *