Wednesday, 25 November 2020

นักวิจัยด้านความปลอดภัยใช้เวลาหลายเดือนในการแฮ็ก Apple นี่คือสิ่งที่พวกเขาพบ

ทีมนักวิจัยด้านความปลอดภัยใช้เวลาสามเดือนในการแฮ็ก Apple ค้นพบช่องโหว่ในโครงสร้างพื้นฐานดิจิทัลของ บริษัท และได้รับเงินรางวัลรวมกว่า 50,000 ดอลลาร์

บริษัท ยักษ์ใหญ่ด้านเทคโนโลยีของ Cupertino ยังคงดูแลโปรแกรมบั๊กที่จ่ายเงินให้กับนักวิจัยด้านความปลอดภัยเพื่อหาช่องโหว่ที่พบ ในฐานะนักวิจัย Sam Curry กล่าวว่าก่อนหน้านี้เขาเคยคิดว่า Apple จ่ายเงินรางวัลเฉพาะสำหรับปัญหาที่ส่งผลกระทบต่อผลิตภัณฑ์ทางกายภาพเช่น iPhone

แต่ในเดือนกรกฎาคม Curry สังเกตเห็นว่าเงินรางวัลก็มีให้สำหรับโครงสร้างพื้นฐานของเว็บเช่นกัน ตามหน้าโปรแกรมบั๊กของ Apple บริษัท จ่ายเงินสำหรับช่องโหว่ที่มี “ผลกระทบที่สำคัญต่อผู้ใช้” จากนั้น Curry ได้คัดเลือกทีมนักวิจัยด้านความปลอดภัยคนอื่น ๆ ได้แก่ Brett Buerhaus, Ben Sadeghipour, Samuel Erb และ Tanner Barnes และเริ่มตรวจสอบระบบของ Apple

หลังจากสามเดือนในการสแกนระบบของ Apple และทดสอบช่องโหว่ต่างๆทีมงานพบช่องโหว่ทั้งหมด 55 ช่องที่มีความรุนแรงแตกต่างกัน อย่างน้อย 11 คนถูกจัดอันดับให้อยู่ในขั้นวิกฤตและ 29 คนอยู่ในระดับรุนแรง

“ในระหว่างการมีส่วนร่วมของเราเราพบช่องโหว่ต่างๆในส่วนหลักของโครงสร้างพื้นฐานของพวกเขาซึ่งจะทำให้ผู้โจมตีสามารถโจมตีทั้งแอปพลิเคชันของลูกค้าและพนักงานได้อย่างเต็มที่เปิดตัวหนอนที่สามารถเข้ายึดบัญชี iCloud ของเหยื่อโดยอัตโนมัติดึงซอร์สโค้ดสำหรับ โครงการภายในของ Apple ประนีประนอมซอฟต์แวร์คลังสินค้าควบคุมอุตสาหกรรมที่ Apple ใช้อย่างเต็มที่และเข้าควบคุมเซสชันของพนักงาน Apple ด้วยความสามารถในการเข้าถึงเครื่องมือการจัดการและทรัพยากรที่ละเอียดอ่อน

ทีมงานไม่สามารถเปิดเผยข้อบกพร่องทั้งหมดที่พวกเขาพบได้อย่างละเอียด แต่ Curry ได้เขียนบทความเกี่ยวกับช่องโหว่ที่น่าสนใจกว่านี้ การเปิดเผยข้อมูลรวมถึงการประนีประนอมอย่างเต็มที่ของโครงการนักการศึกษาดีเด่นของ Apple การโจมตีด้วยสคริปต์ข้ามไซต์ที่อาจทำให้แฮกเกอร์ขโมยข้อมูล iCloud ของผู้ใช้ทางอีเมล และช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถโจมตีระบบคลังและคลังสินค้าภายในของ Apple ได้

ตลอดกระบวนการ Curry กล่าวว่าเจ้าหน้าที่รักษาความปลอดภัยผลิตภัณฑ์ของ Apple ตอบสนองได้ดีมาก เวลาตอบสนองโดยเฉลี่ยสำหรับรายงานความปลอดภัยที่สำคัญคือประมาณสี่ชั่วโมงระหว่างการส่งและการแก้ไข โดยปกติแล้วข้อบกพร่องจะได้รับการแก้ไขภายในหนึ่งถึงสองวันทำการโดยบางส่วนได้รับการแก้ไขในเวลาเพียงสี่ถึงหกชั่วโมง

เมื่อวันที่ 4 ตุลาคมทีมงานได้รับเงินรางวัลสี่ครั้งรวมเป็นเงิน 51,500 ดอลลาร์สำหรับช่องโหว่บางส่วนและคาดว่า Apple จะส่งการชำระเงินสำหรับข้อบกพร่องที่สำคัญยิ่งขึ้น

Curry กล่าวว่าพวกเขาได้รับอนุญาตจากทีมรักษาความปลอดภัยผลิตภัณฑ์ของ Apple ให้เผยแพร่ข้อมูลเกี่ยวกับช่องโหว่และ “กำลังดำเนินการดังกล่าวตามดุลยพินิจของพวกเขา”

“ช่องโหว่ทั้งหมดที่เปิดเผยที่นี่ได้รับการแก้ไขและทดสอบใหม่แล้วโปรดอย่าเปิดเผยข้อมูลเกี่ยวกับความปลอดภัยของ Apple โดยไม่ได้รับอนุญาต” Curry กล่าว

นักวิจัยด้านความปลอดภัยทราบว่าพวกเขาเข้าสู่โครงการตาบอดเนื่องจากข้อมูลเกี่ยวกับโปรแกรมเงินรางวัลบั๊กของ Apple นั้นไม่แน่นอน “ เราค่อนข้างจะอยู่ในสภาพที่ไม่ได้รับการดูแล [sic] ด้วยการลงทุนครั้งใหญ่เช่นนี้” Curry เขียน

“Apple มีประวัติที่น่าสนใจในการทำงานร่วมกับนักวิจัยด้านความปลอดภัย แต่ดูเหมือนว่าโครงการเปิดเผยช่องโหว่ของพวกเขาถือเป็นขั้นตอนใหญ่ในการทำงานร่วมกับแฮกเกอร์ในการรักษาความปลอดภัยทรัพย์สินและให้ผู้ที่สนใจค้นหาและรายงานช่องโหว่ได้” Curry เขียน

 

Ufabet Ufabet
Ufabet Ufabet