黑客发现55个苹果漏洞,获得超5万美元赏金!
一群黑客发现了苹果相关产品中的55个系统漏洞,赢得了5万多美元的杀虫奖。该团队花了三个月的时间入侵了苹果的平台和服务,并发现了一系列弱点。这就是他们所描述的:
在我们的参与过程中,我们发现了苹果基础设施的核心漏洞,这些漏洞可以让攻击者完全入侵客户和员工应用程序,甚至可以启动蠕虫,自动接管受害者的iCloud账户,检索苹果内部项目的源代码,完全入侵苹果的工业控制仓库软件,并接管苹果员工的会话。此外,还可以访问管理工具和敏感资源。
当苹果收到这份报告时,它很快就解决了大部分漏洞,其中一些漏洞在短短几个小时内就被解决了。
总的来说,苹果对我们的报告反应很快。对于我们更重要的报告,从提交到修复只需要4个小时。
作为苹果安全奖励计划的一部分,该团队的一些工作获得了丰厚的报酬。截至10月4日周日,他们共收到4笔付款,总额为51500美元。其中包括披露iCloud用户全名的5000美元、IDOR漏洞的6000美元、企业内部环境的访问费6500美元,以及包含客户数据的系统内存泄漏费34000美元。
由于没有人真正知道他们的漏洞奖励计划,我们几乎进入了一个未知的领域,投入了这么多时间。苹果与安全研究人员合作的历史令人感兴趣,但他们的漏洞披露程序似乎是朝着正确方向迈出的一大步,与黑客合作保护资产,让感兴趣的人识别和报告漏洞。
自去年以来,苹果一直在积极投资其漏洞奖励计划。现在,根据安全漏洞的性质和严重程度,安全研究人员每漏洞最多可获得100万美元的回报。
在得到苹果安全团队的许可后,该团队发布了一份详尽的报告,详细介绍了一系列漏洞以及定位和利用这些漏洞的方法。他们还暗示,可能会有更多的回报。