Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

«Ломали три месяца»: в сервисах Apple найдено 55 уязвимостей

Группа хакеров обнаружила в сервисах Apple 55 опасных уязвимостей

Группа «белых хакеров» в течение трех месяцев взламывала сервисы Apple, чтобы выявить слабые места в их системе безопасности. Результат не заставил себя ждать — исследователи выявили 55 уязвимостей, часть из которых можно отнести к критическим. 

Пять «белых», или этичных, хакеров на протяжении трех месяцев взламывала сервисы компании Apple, обнаружив в них 55 уязвимостей, сообщает портал Motherboard со ссылкой на блог одного из исследователей по имени Сэм Карри. 

«Когда мы начали это исследование, мы понятия не имели, что на его реализацию потребуется чуть больше трех месяцев. Изначально мы задумывали его как побочный проект, над которым мы будем периодически работать, но благодаря свободному времени из-за пандемии, каждый из нас потратил на него несколько сотен часов», — пишет Карри.

По словам хакера, его команде удалось обнаружить проблемы с безопасностью в ключевой инфраструктуре некоторых приложений Apple.

Самый опасный баг, который выявили взломщики, позволял бы злоумышленнику внедрить червя, который в автоматическом режиме похищал бы фотографии, видео и документы из iCloud-аккаунта жертвы, а также список ее контактов. 

Исследователи заявили, что они также обнаружили, что могут получить доступ к репозиторию исходного кода Apple, в котором компания хранит код для «сотен различных приложений для iOS и macOS».

Всего было выявлено 55 уязвимостей, 11 из которых являются критически опасными, 29 — высокого уровня опасности, 13 — среднего уровня опасности и две — низкой опасности.

Хакеры передали информацию о найденных проблемах безопасности в Apple в рамках программы Bug Bounty, когда компании-разработчики выплачивают вознаграждение за сообщения о найденных уязвимостях и эксплойтах. 

Как заявил Карри, по состоянию на 6 октября 2020 года большинство уязвимостей, о которых сообщила его команда, были устранены.

По данным Motherboard, изначально «белым» хакерам заплатили $55 100, что является очень скромной суммой для такого количества уязвимостей и объема проделанной работы. Спустя несколько часов после публикации на портале Apple увеличила сумму выплаты — до $288 500 на пятерых. Сэм Карри подтвердил, что «яблоко» рассчиталось с хакерами за 32 из 55 найденных багов.

В сентябре текущего года ИБ-исследователь Патрик Уордл сообщил о том, что Apple допустила к установке на компьютеры Mac вредоносную программу Shlayer, маскирующуюся под обновление Adobe Flash Player.

Начиная с 2019 года, все разработчики обязаны отправлять свои программы на проверку, по прохождению которой встроенная в macOS защитная система Gatekeeper позволит приложению запускаться и работать на «яблочных» компьютерах. Если же программа не проходит проверку, она моментально блокируется.

Уордл заявил о том, что Shlayer, притворяющийся Flash Player, является первым вирусом, который смог пройти все этапы проверки от Apple.

Как сообщили в пресс-службе Apple, после уведомления компании о возможной угрозе, учетная запись разработчика зловреда была заблокирована.

При этом по данным «Лаборатории Касперского», в прошлом году каждый восьмой пользователь macOS в России чуть не установил Shlayer на свое устройство. Более того, почти треть (29%) всех атак на владельцев macOS с января по ноябрь 2019 года происходили с использованием именно этого вируса.

Новости и материалы
На Украине заявили, что США стали «полезными» лишь к концу срока Байдена
В России к Новому году заготовили елок почти на 15 млрд рублей
Президент РФС пригласит главу УЕФА на матч сборной России
В Киеве за ночь взорвались два трансформатора
Песков рассказал о мерах по предотвращению дефицита товаров в новых регионах
В автомобилях Hyundai выявили серьезную опасность
Украина хочет показать Трампу, что ставка на продолжение конфликта оправдает себя
Бывший футболист сборной рассказал, почему «Крылья» не уволили тренера
Меркель оценила план Трампа назначить Маска на должность в правительстве
Подполье сообщило об изнасилованиях выпускниц медвузов бойцами ВСУ
Россияне значительно увеличили траты на товары из-за рубежа
В Томске стая собак напала на ребенка
На ЗАЭС ввели в строй отключенную высоковольтную линию
Опубликованы стартовые составы «Оренбурга» и «Зенита» на матч РПЛ
Молодая мать попала под суд за то, что бросила 16-месячного ребенка дома ради свидания
Генсек НАТО впервые встретился с Трампом
WSJ: европейские авиакомпании заставляют пилотов летать над зонами боев на Ближнем Востоке
В Петербурге пенсионерка спасала сбережения и отдала мошенникам 2,3 млн рублей
Все новости