Un gruppo di hacker ha ricevuto oltre 50.000$ da Apple per aver scoperto 55 vulnerabilità nei sistemi operativi dell’azienda.
Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb e Tanner Barnes hanno trascorso tre mesi ad hackerare piattaforme e servizi Apple con l’obiettivo di scoprire una serie di punti deboli. Le 55 vulnerabilità scoperte dal team erano di gravità variabile, alcune delle quali considerate “critiche”.
Durante il nostro studio, abbiamo rilevato una serie di vulnerabilità in punti importanti della loro infrastruttura, che avrebbero consentito a un utente malintenzionato di compromettere completamente le applicazioni dei clienti e dei dipendenti, avviare un worm in grado di rilevare automaticamente l’account iCloud di una vittima, recuperare il codice sorgente per i progetti interni di Apple, compromettere il software di magazzino utilizzato da Apple e accedere a strumenti di gestione e risorse accessibili solo ai dipendenti.
A quanto pare, Apple è stata rapida nel correggere la maggior parte delle vulnerabilità, alcune delle quali sono state risolte in poche ore.
Nel complesso, Apple è stata molto reattiva dopo i nostri report. La soluzione dei bug più critici è arrivata in sole quattro ore tra il momento della presentazione del e il momento della correzione.
Nell’ambito del Security Bounty Program di Apple, il gruppo ha ricevuto diversi premi in denaro, per un totale di 51.500$. La somma include 5.000$ per il problema relativo alla divulgazione del nome completo degli utenti iCloud, 6.000$ per la scoperta di vulnerabilità IDOR, 6.500$ per l’accesso agli ambienti aziendali interni e 34.000$ per la scoperta di perdite di memoria di sistema contenenti i dati dei clienti.
Il team ha confermato che Apple ha lavorato a stretto contatto con loro per la risoluzione dei bug e che il programma di divulgazione delle vulnerabilità è un modo “eccezionale per spingere gli hacker a lavorare, scoprire falle e divulgarle all’azienda“.
Ricordiamo che i ricercatori di sicurezza possono ricevere premi fino a un milione di dollari, a seconda della natura e della gravità del bug scoperto.