KEPADA kumpulan penggodam telah dianugerahkan hampir 0,000 oleh Apple kerana menemui 55 kelemahan dalam sistem syarikat.
bagaimana untuk berkongsi skrin dalam masa hadapan
Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb, dan Tanner Barnes menghabiskan tiga bulan menggodam platform dan perkhidmatan Apple untuk menemui pelbagai kelemahan. 55 kelemahan yang ditemui oleh pasukan adalah berbeza-beza tahap keterukan, dengan sesetengahnya kritikal.
Semasa penglibatan kami, kami menemui pelbagai kelemahan dalam bahagian teras infrastruktur mereka yang akan membenarkan penyerang menjejaskan sepenuhnya kedua-dua aplikasi pelanggan dan pekerja, melancarkan cecacing yang mampu secara automatik mengambil alih akaun iCloud mangsa, mendapatkan semula kod sumber untuk dalaman Apple memproyeksikan, menjejaskan sepenuhnya perisian gudang kawalan industri yang digunakan oleh Apple, dan mengambil alih sesi pekerja Apple dengan keupayaan untuk mengakses alatan pengurusan dan sumber sensitif.
Apple nampaknya pantas menangani sebahagian besar kelemahan, dengan beberapa dapat diselesaikan dalam masa beberapa jam.
Secara keseluruhan, Apple sangat responsif terhadap laporan kami. Pusingan untuk laporan kami yang lebih kritikal hanya empat jam antara masa penyerahan dan masa pemulihan.
Sebagai sebahagian daripada Apple Program Bounty Keselamatan , kumpulan itu dapat menerima bayaran yang banyak untuk beberapa kerja mereka. Sehingga Ahad, 4 Oktober, mereka telah menerima empat pembayaran berjumlah ,500. Ini termasuk ,000 untuk mendedahkan nama penuh pengguna iCloud, ,000 untuk mencari kelemahan IDOR, ,500 untuk akses kepada persekitaran korporat dalaman dan ,000 untuk menemui kebocoran memori sistem yang mengandungi data pelanggan.
Memandangkan tiada siapa yang benar-benar tahu tentang program hadiah pepijat mereka, kami hampir pergi ke wilayah yang belum diterokai dengan pelaburan masa yang begitu besar. Apple mempunyai sejarah yang menarik bekerja dengan penyelidik keselamatan, tetapi nampaknya program pendedahan kerentanan mereka adalah langkah besar ke arah yang betul untuk bekerja dengan penggodam dalam mengamankan aset dan membenarkan mereka yang berminat mencari dan melaporkan kelemahan.
Apple telah melabur secara aktif dalam program hadiah pepijatnya sejak tahun lepas. Penyelidik keselamatan kini boleh menerima sehingga satu juta dolar setiap kelemahan bergantung pada sifat dan keterukan kecacatan keselamatan.
cara menukar matlamat aktiviti jam tangan epal
Dengan kebenaran pasukan keselamatan Apple, kumpulan itu telah menerbitkan satu laporan yang meluas yang memperincikan pelbagai kelemahan dan kaedah mencari dan mengeksploitasi kelemahan. Mereka juga membayangkan bahawa hadiah tambahan mungkin sedang dalam perjalanan.
Kemas kini 9 Oktober : Pada masa penerbitan, kumpulan itu melaporkan bahawa ia telah menerima ,500 sebagai hadiah daripada Apple untuk empat daripada laporan kelemahan yang dikemukakannya. Kumpulan itu kini mengatakan ia telah menerima 32 pembayaran daripada Apple berjumlah 8,500.
Tag: Keselamatan Apple , godam , hadiah pepijat
Jawatan Popular