一群黑客發(fā)現(xiàn) 55 個(gè)蘋果漏洞，獲超 5 萬(wàn)美元獎(jiǎng)賞

10月8日消息，據(jù)IT之家消息，一群黑客因?yàn)榘l(fā)現(xiàn)了蘋果公司系統(tǒng)的 55 個(gè)漏洞，獲得了蘋果公司超過 5 萬(wàn)美元的獎(jiǎng)勵(lì)。

Sam Curry、Brett Buerhaus、Ben Sadeghipour、Samuel Erb 和 Tanner Barnes 花了 3 個(gè)月的時(shí)間對(duì)蘋果平臺(tái)和服務(wù)進(jìn)行黑客攻擊，發(fā)現(xiàn)了一系列漏洞。該團(tuán)隊(duì)發(fā)現(xiàn)的 55 個(gè)漏洞嚴(yán)重程度不一，其中一些漏洞非常嚴(yán)重。

據(jù)悉，上述部分漏洞將允許攻擊者完全入侵客戶和員工的應(yīng)用程序，啟動(dòng)一個(gè)能夠自動(dòng)接管受害者的 iCloud 賬戶的蠕蟲，檢索蘋果內(nèi)部項(xiàng)目的源代碼，完全入侵蘋果使用的一個(gè)工業(yè)控制倉(cāng)庫(kù)軟件，并接管蘋果員工的會(huì)話，并能夠訪問管理工具和敏感資源。

蘋果公司迅速處理了大部分漏洞，有些漏洞在短短幾個(gè)小時(shí)內(nèi)就得到了解決。

作為蘋果公司安全賞金計(jì)劃的一部分，該小組的一些工作能夠獲得可觀的報(bào)酬。截至 10 月 4 日周日，他們已經(jīng)收到了四筆款項(xiàng)，共計(jì) 51500 美元。其中包括披露 iCloud 用戶全名的 5000 美元，發(fā)現(xiàn) IDOR 漏洞的 6000 美元，進(jìn)入企業(yè)內(nèi)部環(huán)境的 6500 美元，以及發(fā)現(xiàn)包含客戶數(shù)據(jù)的系統(tǒng)內(nèi)存泄露的 34000 美元。

了解到，自去年以來，蘋果一直在積極投資其漏洞賞金計(jì)劃?，F(xiàn)在，安全研究人員根據(jù)安全漏洞的性質(zhì)和嚴(yán)重程度，每個(gè)漏洞最高可以獲得 100 萬(wàn)美元的獎(jiǎng)勵(lì)。

在得到蘋果安全團(tuán)隊(duì)的許可后，該小組發(fā)布了一份報(bào)告，其中詳細(xì)介紹了一系列漏洞以及定位和利用弱點(diǎn)的方法。他們還暗示，更多的懸賞可能會(huì)在路上。