黑客發(fā)現(xiàn)55個蘋果漏洞,獲得超5萬美元賞金!
一群黑客發(fā)現(xiàn)了蘋果相關(guān)產(chǎn)品中的55個系統(tǒng)漏洞,贏得了5萬多美元的殺蟲獎。該團隊花了三個月的時間入侵了蘋果的平臺和服務(wù),并發(fā)現(xiàn)了一系列弱點。這就是他們所描述的:
在我們的參與過程中,我們發(fā)現(xiàn)了蘋果基礎(chǔ)設(shè)施的核心漏洞,這些漏洞可以讓攻擊者完全入侵客戶和員工應(yīng)用程序,甚至可以啟動蠕蟲,自動接管受害者的iCloud賬戶,檢索蘋果內(nèi)部項目的源代碼,完全入侵蘋果的工業(yè)控制倉庫軟件,并接管蘋果員工的會話。此外,還可以訪問管理工具和敏感資源。
當蘋果收到這份報告時,它很快就解決了大部分漏洞,其中一些漏洞在短短幾個小時內(nèi)就被解決了。
總的來說,蘋果對我們的報告反應(yīng)很快。對于我們更重要的報告,從提交到修復(fù)只需要4個小時。
作為蘋果安全獎勵計劃的一部分,該團隊的一些工作獲得了豐厚的報酬。截至10月4日周日,他們共收到4筆付款,總額為51500美元。其中包括披露iCloud用戶全名的5000美元、IDOR漏洞的6000美元、企業(yè)內(nèi)部環(huán)境的訪問費6500美元,以及包含客戶數(shù)據(jù)的系統(tǒng)內(nèi)存泄漏費34000美元。
由于沒有人真正知道他們的漏洞獎勵計劃,我們幾乎進入了一個未知的領(lǐng)域,投入了這么多時間。蘋果與安全研究人員合作的歷史令人感興趣,但他們的漏洞披露程序似乎是朝著正確方向邁出的一大步,與黑客合作保護資產(chǎn),讓感興趣的人識別和報告漏洞。
自去年以來,蘋果一直在積極投資其漏洞獎勵計劃。現(xiàn)在,根據(jù)安全漏洞的性質(zhì)和嚴重程度,安全研究人員每漏洞最多可獲得100萬美元的回報。
在得到蘋果安全團隊的許可后,該團隊發(fā)布了一份詳盡的報告,詳細介紹了一系列漏洞以及定位和利用這些漏洞的方法。他們還暗示,可能會有更多的回報。
