黑客队花了三个月的时间攻击苹果平台和服务,发现了一系列弱点。他们这样描述:
在我们的参与过程中,在苹果基础设施的核心部分发现了各种漏洞,这些漏洞将允许攻击者完全入侵客户和员工的应用程序,甚至启动一个能够自动接管受害者的iCloud检索苹果内部项目的源代码,完全入侵苹果使用的工业控制仓库软件,接管苹果员工的会话,访问管理工具和敏感资源。
收到报告后,苹果迅速处理了大部分漏洞,短短几个小时就解决了一些漏洞。
一般来说,苹果对我们的报告反应很快。从提交到维修,我们的重要报告只需要四个小时。
作为苹果安全奖金计划的一部分,该小组的一些工作可以得到可观的回报。截至10月4日和周日,他们已收到共计51500美元的四笔款项。包括披露iCloud用户全名5000美元,发现IDOR6000美元的漏洞,6500美元的内部环境,34000美元的内存泄露包含客户数据。
因为没有人真正了解他们bug赏金计划,所以我们几乎花了这么多时间进入一个未知的领域。苹果与安全研究人员合作的历史非常有趣,但它们的漏洞披露计划似乎在与黑客合作保护资产安全、让感兴趣的人找到和报告漏洞的正确方向上迈出了一大步。
自去年以来,苹果一直在积极投资其漏洞赏金计划。现在,安全研究人员可以根据安全漏洞的性质和严重程度获得最高100万美元的奖励。
在获得苹果安全团队的许可后,该团队发布了一份广泛的报告,详细介绍了一系列漏洞、定位和使用弱点的方法。他们还暗示,路上可能会有更多的奖励。