Hacking (etico) alle infrastrutture Apple per tre mesi: 55 vulnerabilità individuate e 50 mila dollari di ricompensa

Hacking (etico) alle infrastrutture Apple per tre mesi: 55 vulnerabilità individuate e 50 mila dollari di ricompensa

Un gruppo di ricercatori di sicurezza decide di mettere alla prova le infrastrutture web di Apple: il progetto dura tre mesi, nel corso dei quali individuano 55 vulnerabilità, alcune delle quali critiche o molto gravi

di pubblicata il , alle 11:21 nel canale Sicurezza
Apple
 

Un gruppo di ricercatori di sicurezza ha deciso di dedicare tre mesi per mettere alla prova l'infrastruttura informatica di Apple, individuando una serie di vulnerabilità che hanno permesso loro di incassare ricompense per un totale di oltre 50 mila dollari.

Apple ha in essere un programma di bug bounty che offre ricompense monetarie ai ricercatori di sicurezza che individuano e comunicano eventuali vulnerabilità e falle di sicurezza. Sam Curry, uno dei ricercatori che ha preso parte a questo lavoro, ha dichiarato di aver creduto per lungo tempo che il programma di bug bounty fosse destinato solamente a prodotti fisici come iPhone e MacBook.

55 vulnerabilità nelle infrastrutture web di Apple, 11 delle quali critiche

Lo scorso mese di luglio Curry ha però notato che le ricompense erano disponibili anche per chi avesse individuato problemi e vulnerabilità nell'infrastruttura web di Apple. Curry ha allora reclutato una serie di colleghi - Ben Sadeghipour, Samuel Erb, Tanner Barnes e Brett Buerhaus - e insieme hanno iniziato a passare al setaccio i sistemi di Apple. Trascorsi tre mesi, i ricercatori hanno individuato durante la loro analisi un totale di 55 vulnerabilità, di cui 11 classificate come critiche e altre 29 come molto gravi.

"Durante il nostro lavoro abbiamo trovato una serie di vulnerabilità nelle parti principali della loro infrastruttura, tali da consentire ad un utente con cattive intenzioni di compromettere completamente le applicazioni di clienti e dipendenti, avviare un worm capace di prendere controllo automaticamente dell'account iCloud di una vittima, recuperare codice sorgente di progetti interni di Apple, compromettere completamente un software di controllo industriale di magazzino e prendere il controllo delle sessioni dei dipendenti con la possibilità di accedere a strumenti di gestione e risorse sensibili" ha spiegato Curry.

Curry ha spiegato che durante il periodo di analisi, il personale addetto alla sicurezza dei prodotti Apple ha collaborato in maniera molto reattiva, con un tempo medio di risposta alle segnalazioni di sicurezza di circa quattro ore. Più in generale i problemi sono stati risolti entro uno o due giorni lavorativi, alcuni dei quali in un minimo di quattro o sei ore.

La ricompensa è di oltre 50 mila dollari

Lo scorso 4 ottobre i ricercatori hanno ricevuto il pagamento per quattro ricompense, per un totale di 51500 dollari: 5000 dollari per aver individuato una falla in grado di rivelare i nomi degli utenti iCloud, 6000 dollari per aver trovato vulnerabilità IDOR (Insecure Direct Object Reference), 6500 dollari per aver individuato un accesso ad ambienti corporate interni e 34000 dollari per aver scoperto leak di memoria di sistema contenenti dati utente.

Il gruppo di ricercatori ha avuto il permesso da parte di Apple di divulgare alcune delle vulnerabilità più interessanti, e Sam Curry ha illustrato nel dettaglio ciò che, assieme ai suoi colleghi, ha individuato negli ultimi tre mesi: trovate un resoconto estensivo sul suo blog.

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Perseverance09 Ottobre 2020, 11:49 #1
La sicurezza è sempre vista come una voce negativa al bilancio aziendale. Costa meno lasciare lì dove sono le vulnerabilità e magari di tanto in tanto elargire briciole a chi le trova che non stipendiare un team fisso interno deputato alla sicurezza. Questi sono cinque individui. Tre mesi di lavoro specializzato, cinque persone, 50000€ di cash esentasse, sono 10000€ a testa e sono circa 3300€ al mese. Non l'ha pagati nulla.

Se l'aspetto sicurezza di qualunque azienda, figuriamoci di apple google e le più famose, è trattata, gestita e liquidata come nel modo descritto qui sopra, affidandosi al caso di 5 persone che potevano benissimo grattarsi la pancia, allora andiamo veramente bene.

Dati pubblici di tutti in mano a privati che hanno queste "accortezze" nel trattamento e nella tutela degli stessi. Auguri...
pengfei09 Ottobre 2020, 12:03 #2
Ho letto da un'altra parte che il gruppo si aspetta che il totale delle ricompense superi i 500 mila dollari, tutto sommato neanche questa cifra è particolarmente alta, se qualcuno avesse sfruttato le vulnerabilità probabilmente Apple e gli utenti avrebbero subito danni di ordini di grandezza superiori
bonzoxxx09 Ottobre 2020, 12:17 #3
E' ora di mettere a frutto il mio diploma CEH

Bravi, soldi meritati.
Perseverance09 Ottobre 2020, 12:35 #4
Originariamente inviato da: pengfei
Ho letto da un'altra parte che il gruppo si aspetta che il totale delle ricompense superi i 500 mila dollari
Aspetta e spera

tutto sommato neanche questa cifra è particolarmente alta, se qualcuno avesse sfruttato le vulnerabilità probabilmente Apple e gli utenti avrebbero subito danni di ordini di grandezza superiori


Allora non si capisce! Non è la cifra la cosa importante ma è la gestione della sicurezza. La sicurezza non può e non deve essere quantificata con una cifra, xkè riguarda tutti ed in particolare i dati di tutti. Se questi sono i modi con cui le più grandi società che detengono i nostri dati trattano il fattore sicurezza...lascio a te le conclusioni.

Che non abbiano avuto 5 persone specializzate a quello scopo nell'organico da dedicare a quel lavoro non ci credo. La realtà è lì palese fra le righe: risparmiare sacrificando la tutela dei dati e la sicurezza. Evidentemente gli costa meno fare così che non pagare un team fisso di ricercatori. Come ad altre società del resto. Il capitalismo non si smentisce mai...
bonzoxxx09 Ottobre 2020, 13:20 #5
Originariamente inviato da: Perseverance
Aspetta e spera

Che non abbiano avuto 5 persone specializzate a quello scopo nell'organico da dedicare a quel lavoro non ci credo. La realtà è lì palese fra le righe: risparmiare sacrificando la tutela dei dati e la sicurezza. Evidentemente gli costa meno fare così che non pagare un team fisso di ricercatori. Come ad altre società del resto. Il capitalismo non si smentisce mai...


Posso dirti una cosa? I Certified Ethical Hacker come me devono necessariamente essere esterni perché solo cosi trovi le vulnerabilità, fidati si deve fare così

Concordo con te sul discorso della sicurezza dei dati e sul fatto che non si investa su quello.
utente_medio_09 Ottobre 2020, 14:13 #6
Originariamente inviato da: Perseverance
La sicurezza è sempre vista come una voce negativa al bilancio aziendale. Costa meno lasciare lì dove sono le vulnerabilità e magari di tanto in tanto elargire briciole a chi le trova che non stipendiare un team fisso interno deputato alla sicurezza. Questi sono cinque individui. Tre mesi di lavoro specializzato, cinque persone, 50000€ di cash esentasse, sono 10000€ a testa e sono circa 3300€ al mese. Non l'ha pagati nulla.

Se l'aspetto sicurezza di qualunque azienda, figuriamoci di apple google e le più famose, è trattata, gestita e liquidata come nel modo descritto qui sopra, affidandosi al caso di 5 persone che potevano benissimo grattarsi la pancia, allora andiamo veramente bene.

Dati pubblici di tutti in mano a privati che hanno queste "accortezze" nel trattamento e nella tutela degli stessi. Auguri...


riporto dal blog:

As of now, October 8th, we have received 32 payments totaling $288,500 for various vulnerabilities.


direi che la tua teoria non regge, inoltre non penso proprio che apple non abbia un team di sicurezza interna
bonzoxxx09 Ottobre 2020, 16:43 #7
Originariamente inviato da: utente_medio_
riporto dal blog:

As of now, October 8th, we have received 32 payments totaling $288,500 for various vulnerabilities.


direi che la tua teoria non regge, inoltre non penso proprio che apple non abbia un team di sicurezza interna


Le vulnerability assessment si fanno sempre con team esterni perché non sanno come è fatta una rete e non commettono errori in buona fede che potrebbe commettere un sys admin interno, è cosi che funziona.
utente_medio_09 Ottobre 2020, 17:36 #8
Originariamente inviato da: bonzoxxx
Le vulnerability assessment si fanno sempre con team esterni perché non sanno come è fatta una rete e non commettono errori in buona fede che potrebbe commettere un sys admin interno, è cosi che funziona.


magari con qualys..
si scherza ovviamente, intendevo che apple sicuramente ha un team di sicurezza interno, ovvio che poi gli assestment devono essere esterni per le ragioni da te citate
bonzoxxx09 Ottobre 2020, 17:40 #9
Originariamente inviato da: utente_medio_
magari con qualys..
si scherza ovviamente, intendevo che apple sicuramente ha un team di sicurezza interno, ovvio che poi gli assestment devono essere esterni per le ragioni da te citate




Dipende, la VA fa parte di un processo più ampio, di solito in un pen test si va a fondo fino a sfeuttare le vulnerabilità trovate senza, possibilmente, fare danni

È un campo molto interessante, io non sono bravo serve molta esperienza oltre al pezzo di carta, però le soddisfazioni ci sono. Spero di approfondire sempre si più.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^