해커 그룹은 공격자가 누군가의 iCloud 사진을 훔칠 수있는 버그를 포함하여 55 개의 버그에 대해 회사에 알리고 Apple로부터 $ 288,500를 받았습니다.
해커 그룹은 몇 달 동안 애플의 거대한 온라인 인프라를 표적으로 삼았고 해커가 사람들의 iCloud 계정에서 파일을 훔칠 수있는 취약점을 포함하여 수많은 취약점을 발견했습니다. 그들은 이번 주 블로그 게시물 에서 발표 했습니다.
그들은 "화이트 햇"해커로 활동하고 있었는데, 이는 그들의 목표가 정보를 훔치는 것이 아니라 취약점에 대해 Apple에 알리는 것이 었음을 의미합니다. 팀은 Brett Buerhaus , Ben Sadeghipour , Samuel Erb , Tanner Barnes 와 함께 20 세 Sam Curry 가 이끌었습니다 .
Curry는 블로그 게시물에서 "애플 버그 바운티 프로그램에 참여한 적이 없었기 때문에 무엇을 기대해야할지 전혀 몰랐지만 내 운을 시험해보고 찾을 수있는 것을 확인하지 않는 이유를 결정했습니다"라고 말했습니다. "배당금에 대한 보장도없고 프로그램 작동 방식에 대한 이해도 없었지만 모두가 그렇다고 답했고 우리는 Apple을 해킹하기 시작했습니다."
애플은 55 개의 취약점을 공개 한 대가로 버그 바운티 프로그램 을 통해 지금까지 28 만 8 천 5 백 달러 를 지불했으며 , 그중 11 개는 "심각"으로 분류되었습니다. Curry는 Apple이 그룹이보고 한 모든 버그를 처리하고 보상하면 총 지불액이 50 만 달러를 초과 할 수 있다고 말했습니다.
그룹이 발견 한 가장 심각한 취약점 중 하나는 해커가 연락처의 iCloud 계정을 감염시키기 전에 사람들의 iCloud 파일을 훔치는 웜을 구축 할 수있게했을 것입니다. 취약점은 iCloud에서 Apple Mail을 지원한다는 사실에 달려 있습니다. 화이트 햇 해커가 악성 코드가 포함 된 iCloud.com 이메일 주소로 이메일을 보낸 후 iCloud 계정을 손상시킬 수있었습니다.
애플은보고 된 직후 모든 취약점을 패치했다고 커리는 말했다.
버그를 찾는 과정에서 Curry와 그의 팀은 대규모 Apple 온라인 인프라에 대한 통찰력을 얻었습니다. Apple은 25,000 개 이상의 웹 서버를 소유하고 있으며 Apple.com, iCloud.com 및 7,000 개 이상의 고유 도메인에 속합니다. 많은 취약점은 Distinguished Educators 사이트 와 같이 Apple 소유의 모호한 웹 서버를 검색하여 발견되었습니다 .
Curry 팀의 연구를 검토 한 사이버 보안 전문가는 심각한 취약점 중 일부가 우려되지만 이러한 거대한 온라인 인프라를 유지 관리하는 회사가 예상해야하는 고유 한 문제를 반영한다고 말했습니다.
"광범위한 Apple 온라인 존재 내에서 확인 된 문제의 범위는 실제로 조직이 성장함에 따라 모든 보안 문제를 파악하는 것이 Apple 내부의 보안 관행을 부정적으로 반영하는 것보다 얼마나 어려운지를 보여주는 더 많은 증거입니다."라고 Tim Mackey, Syn opsys Cybersecurity Research Center 의 수석 보안 전략가는 Business Insider에 말했습니다.
Business Insider에 대한 성명에서 Apple은 취약점이 패치되었으며 악의적 인 행위자에 의해 악용 된 증거가 없다고 덧붙여 화이트 햇 해커의 작업을 높이 평가한다고 말했습니다.
"Apple에서는 네트워크를 철저히 보호하고 위협을 감지하고 대응하기 위해 노력하는 전담 정보 보안 전문가 팀을 보유하고 있습니다. 연구원들이 보고서에 자세히 설명하는 문제에 대해 알려주 자마자 우리는 즉시 취약성을 수정하고 조치를 취했습니다. 이런 종류의 미래 문제를 방지하기 위해 "라고 애플 대변인은 말했다. "우리는 사용자를 안전하게 보호하기 위해 보안 연구원과의 협력을 소중히 여기며 팀의 도움을 인정했으며 Apple Security Bounty 프로그램에서 보상 할 것입니다."