Hackers recebem quase US $ 300.000 revelando vulnerabilidades da Apple

Um grupo de hackers passou três meses invadindo a Apple, descobrindo vulnerabilidades em seus sistemas e se beneficiando do programa Security Bounty no processo. Este programa oferece dinheiro para pessoas que encontram bugs nos sistemas da Apple, e os hackers aproveitaram-se disso por três meses, ganhando quase US $ 300.000.

O grupo, formado por Bett Buerhaus, Sam Curry, Samuel Erb, Ben Sadeghipour e Tanner Barnes, atacou todos os pontos das estruturas da Apple durante esses três meses. No Site de curry, o grupo conta seu trabalho.

“Durante nosso envolvimento, encontramos uma variedade de vulnerabilidades em partes centrais de sua infraestrutura que teriam permitido a um invasor comprometer completamente os aplicativos de clientes e funcionários, lançar um worm capaz de assumir automaticamente o controle da conta iCloud da vítima e recupere o código-fonte de projetos internos da Apple e assuma sessões de funcionários da Apple com a capacidade de acessar ferramentas e recursos de administração confidenciais “, escreveram eles.

Os hackers afirmam ter encontrado 55 vulnerabilidades de severidade variada, algumas críticas e outras uma mistura de severidade alta, média e baixa. Eles dizem que a Apple resolveu a maioria dos problemas rapidamente, em um ou dois dias úteis, alguns até em poucas horas.

A equipe começou a se beneficiar do programa depois de perceber que ele se estende além dos produtos físicos da Apple e também abrange seus ativos e infraestrutura web. “Isso chamou minha atenção como uma oportunidade interessante de pesquisar um novo programa que parecia ter um amplo escopo e recursos divertidos”, disse Curry. “Na época, eu nunca havia trabalhado no programa de recompensa de insetos da Apple, então realmente não tinha ideia do que esperar, mas decidi tentar a sorte e ver o que poderia encontrar.”

Em seu site, Curry apresenta muitos detalhes sobre várias vulnerabilidades e estratégias para encontrar e atacar pontos fracos. Em resumo, a equipe recebeu $ 288.500 em recompensas da Apple (valor atualizado pelo próprio Curry depois que a história foi publicada) pelas vulnerabilidades encontradas e relatadas.

Em entrevista ao site Eu maisCurry disse que embora a equipe tenha recebido pagamentos pelas falhas encontradas, espera lucrar ainda mais, com outros pontos atendendo aos critérios especificados no Página do programa de recompensas da Apple.

“O programa de recompensa de bugs da Apple faz um ótimo trabalho ao encorajar a divulgação responsável, trabalhando ativamente com pesquisadores de segurança bem-intencionados”, elogiou Curry. “Programas como o da Apple encorajam bons atores e fazem a ponte entre as organizações e os hackers.”

Esta notícia mostra o sucesso do programa de recompensas da Apple, que ajuda os desenvolvedores a identificar problemas no ecossistema da Apple antes que se tornem ruins para os usuários.

Através da: Eu mais

'+title+''+btnOpen+btnMax+btnMin+btnClose+'
'+player+'

'); if (this.getStorage('player-minimized')!=='S') window.setTimeout(function(){OD_LIB.widgetPlayerRestore();}, 100); }; /** * Fecha vídeo "widget" * @return void */ this.widgetPlayerClose = function(){ $('.wdgplayer').remove(); }; /** * Maximiza vídeo "widget" * @return void */ this.widgetPlayerMinimize = function(){ $('.wdgplayer').addClass('minimized'); this.setStorage('player-minimized', 'S', 5); }; /** * Miniza vídeo "widget" * @return void */ this.widgetPlayerRestore = function(){ $('.wdgplayer').removeClass('minimized'); this.setStorage('player-minimized', 'N'); }; /** * Retorna endpoint dos dados para odNews * @return void */ this.odNewsJSONUrl = function(){ return '//'+this.getHost()+'/site/arquivos/json/fblive.json'; }; /** * Retorna url do vídeo na página ODNews * @return void */ this.odNewsUrl = function(video){ return '//'+this.getHost()+'/aovivo/?v='+video.id; }; /** * Retorna a url * @return void */ this.odNewsletterWSUrl = function(){ return '//'+this.getHost(true)+'/webservice?Servico=NewsAssinar'; }; /** * Obtém o valor de localStorage * @return string */ this.getStorage = function(key){ var ret=localStorage.getItem(key), to; if ((to=localStorage.getItem(key+'_to'))>0){ if ((new Date().getTime())-(localStorage.getItem(key+'_ts'))>to){ localStorage.removeItem(key); localStorage.removeItem(key+'_to'); localStorage.removeItem(key+'_ts'); ret = null; } } return ret; }; /** * Define o valor em localStorage * @return void */ this.setStorage = function(key, value, expireSeconds){ localStorage.setItem(key, value); if (expireSeconds>0){ localStorage.setItem(key+'_ts', new Date().getTime()); localStorage.setItem(key+'_to', expireSeconds*1000); } }; /** * ODNews play * @return null */ this.odNewsPlay = function(video){ var title="Olhar Digital News está no ar"; this.setODNewsEnabled(false); if (this.getRefreshTimeout()>0) this.setRefreshTimeout(1800); if (video.origin == 'facebook'){ this.widgetPlayer(title, '

', this.odNewsUrl(video)); this.loadFBApi(); } else { this.widgetPlayer(title, 'https://www.youtube.com/watch?v='+video.id+'', this.odNewsUrl(video)); } this.hitODNews(); }; /** * Verifica exibição do player aovivo * @return null */ this.odNewsVerify = function() { if (odNewsProcessing || !odNewsEnabled) return; odNewsProcessing = true; $.ajax({ url: OD_LIB.odNewsJSONUrl(), type:'get', dataType:'json', success: function(videos){ var i, video; for (i in videos){ video = videos[i]; if (!video.live_video) continue; if (video.live_status != 'LIVE') continue; $('body').addClass('odnews-active'); OD_LIB.odNewsPlay(video); break; } odNewsProcessing = false; }, error: function(xhm, error){ console.error('Erro ao obter status do stream Olhar Digital'); odNewsProcessing = false; } }); }; /** * Define o tempo de refresh da página em segundos * @return null */ this.setRefreshTimeout = function(seconds){ if (refreshTo !== false) { window.clearTimeout(refreshTo); refreshTo = false; } refreshTimeout = Math.max(0, seconds); if (refreshTimeout <= 0) return; refreshTo = window.setTimeout(function(){location.reload();}, refreshTimeout * 1000); }; /** * Obtém o tempo de refresh da página em segundos * @return int */ this.getRefreshTimeout = function(){ return refreshTimeout; }; /** * AD configs * @param Array * @return null */ this.dfpSetConfig = function(config){ dfpAdConfig = config; } /** * AD callbacks / slot rendered * @param googletag.events.Event * @return null */ this.dfpSlotRendered = function(event){ var isBG = (function(){return (Array.isArray(event.size) && event.size[0]==2000 && event.size[1]==1000);})(), config = (function(){ var found=false, prop, value, i, c, find=['creativeId', 'lineItemId', 'campaignId', 'advertiserId']; for (i in find){ prop=find[i]; for (c in dfpAdConfig){ if ((value=event[prop]) && value==dfpAdConfig[c][prop]){found=dfpAdConfig[c]; break;} } if (found) break; } return found?found:{}; })(); if (isBG){ document.body.className+=' has-background'; OD_LIB.addInit(function(){ var h; if ((h=config.header_height)>0) $('#content').css({'transition':'margin-top ease 1.2s', 'margin-top': h+'px'}); $(window).trigger('resize'); }); } }; /** Sync startup - profile */ (function(lib){ var xhr = new XMLHttpRequest(); xhr.withCredentials = true; xhr.onreadystatechange = function(){ var data=false; if (!(xhr.readyState == 4 && xhr.status == 200)) return; try {data=JSON.parse(xhr.responseText);} catch (e) {console.log('uInfo parser error');} if (!data) return; lib.userInfo = data; if (lib.userInfo.id <= 0) return; lib.addInit(function(){$('#user_info').addClass('logado').find('[data-item="nome"]').html(OD_LIB.userInfo.nome+' '+OD_LIB.userInfo.sobrenome);}); if (lib.userInfo.redirTo!='') {window.location.hostname=lib.userInfo.redirTo;} } xhr.open('GET','https://'+lib.getHost(true)+'/profile/me'); xhr.send(); });//(this); /** Async startup - rate */ this.addInit(function(){ var bdy=$('body'), id = parseInt(bdy.attr('data-id'), 10); if (id<=0) return; $.ajax({url:'https://'+OD_LIB.getHost(true)+'/site/run/avaliacao.php?id='+id,xhrFields:{withCredentials: true}}).done(function(data) {bdy.append(data);}); }); }); OD_LIB.setRefreshTimeout(0); OD_LIB.setODNewsEnabled('1'=='1');

You May Also Like

About the Author: Gabriela Cerqueira Corrêa

"Solucionador de problemas do mal. Amante da música. Especialista certificado em cultura pop. Organizador. Guru do álcool. Fanático por café."

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *