Hacking (etico) alle infrastrutture Apple per tre mesi: 55 vulnerabilità individuate e 50 mila dollari di ricompensa

Un gruppo di ricercatori di sicurezza ha deciso di dedicare tre mesi per mettere alla prova l'infrastruttura informatica di Apple, individuando una serie di vulnerabilità che hanno permesso loro di incassare ricompense per un totale di oltre 50 mila dollari.

Apple ha in essere un programma di bug bounty che offre ricompense monetarie ai ricercatori di sicurezza che individuano e comunicano eventuali vulnerabilità e falle di sicurezza. Sam Curry, uno dei ricercatori che ha preso parte a questo lavoro, ha dichiarato di aver creduto per lungo tempo che il programma di bug bounty fosse destinato solamente a prodotti fisici come iPhone e MacBook.

55 vulnerabilità nelle infrastrutture web di Apple, 11 delle quali critiche

Lo scorso mese di luglio Curry ha però notato che le ricompense erano disponibili anche per chi avesse individuato problemi e vulnerabilità nell'infrastruttura web di Apple. Curry ha allora reclutato una serie di colleghi - Ben Sadeghipour, Samuel Erb, Tanner Barnes e Brett Buerhaus - e insieme hanno iniziato a passare al setaccio i sistemi di Apple. Trascorsi tre mesi, i ricercatori hanno individuato durante la loro analisi un totale di 55 vulnerabilità, di cui 11 classificate come critiche e altre 29 come molto gravi.

"Durante il nostro lavoro abbiamo trovato una serie di vulnerabilità nelle parti principali della loro infrastruttura, tali da consentire ad un utente con cattive intenzioni di compromettere completamente le applicazioni di clienti e dipendenti, avviare un worm capace di prendere controllo automaticamente dell'account iCloud di una vittima, recuperare codice sorgente di progetti interni di Apple, compromettere completamente un software di controllo industriale di magazzino e prendere il controllo delle sessioni dei dipendenti con la possibilità di accedere a strumenti di gestione e risorse sensibili" ha spiegato Curry.

Curry ha spiegato che durante il periodo di analisi, il personale addetto alla sicurezza dei prodotti Apple ha collaborato in maniera molto reattiva, con un tempo medio di risposta alle segnalazioni di sicurezza di circa quattro ore. Più in generale i problemi sono stati risolti entro uno o due giorni lavorativi, alcuni dei quali in un minimo di quattro o sei ore.

La ricompensa è di oltre 50 mila dollari

Lo scorso 4 ottobre i ricercatori hanno ricevuto il pagamento per quattro ricompense, per un totale di 51500 dollari: 5000 dollari per aver individuato una falla in grado di rivelare i nomi degli utenti iCloud, 6000 dollari per aver trovato vulnerabilità IDOR (Insecure Direct Object Reference), 6500 dollari per aver individuato un accesso ad ambienti corporate interni e 34000 dollari per aver scoperto leak di memoria di sistema contenenti dati utente.

Il gruppo di ricercatori ha avuto il permesso da parte di Apple di divulgare alcune delle vulnerabilità più interessanti, e Sam Curry ha illustrato nel dettaglio ciò che, assieme ai suoi colleghi, ha individuato negli ultimi tre mesi: trovate un resoconto estensivo sul suo blog.