Команда з п’яти дослідників безпеки протягом трьох місяців проаналізувала кілька онлайн-сервісів Apple і виявила 55 уразливих місць, 11 з яких є критичними за ступенем серйозності, повідомляє TheHackerNews.
Список містить 29 уразливостей високого ступеня тяжкості, 13 уразливостей середнього ступеня тяжкості та 2 уразливості низького ступеня тяжкості, які могли дозволити зловмисникові повністю скомпрометувати як програми клієнтів, так і співробітників, запустити “черв’яка”, здатного автоматично захопити обліковий запис iCloud жертви, або навіть отримати вихідний код внутрішніх проектів Apple, повністю компрометувати програмне забезпечення для промислового контролю Apple, та навіть імітувати дії співробітників Apple завдяки можливості доступу до інструментів управління та чутливих ресурсів.
Щонайменше зловмисник міг легко захопити обліковий запис користувача iCloud та викрасти всі фотографії, інформацію календаря, відео та документи, крім того, ще пересилав той самий експлойт усім контактам жертви.
Про відкриті уразливості повідомляв незалежний дослідник Сем Каррі разом із Бреттом Бургаузом, Беном Садегіпуром, Самуелем Ербом та Таннером Барнсом протягом трьох місяців між липнем і вереснем. Після того, як про це дослідники легально повідомили компанію Apple, виробник iPhone вжив заходів, щоб виправити недоліки протягом 1-2 робочих днів, а кілька інших було виправлено протягом короткого періоду 4-6 годин. На сьогоднішній день Apple виправила 28 із 55 уразливостей, виплативши дослідникам 288500 доларів у рамках своєї програми пошуку помилок.
Критичні помилки, на які звернули увагу Сем Каррі та команда, такі:
- Віддалене виконання коду за допомогою обходу авторизації та автентифікації;
- Обхід автентифікації через неправильно налаштовані дозволи, який дозволяє доступ до глобального адміністратора;
- Віддалене виконання коду за допомогою інструменту адміністратора. щодо екаунти якого може бути витік;
- Витік пам’яті призводить до плутанини між обліковими засобами працівників фірми та обліковими записами користувачів, що дозволяє отримати доступ до різних внутрішніх програм;
- Wormable Stored XSS дозволяє зловмисникові повністю компрометувати екаунт жертви на iCloud;
- SSRF з повною реакцією дозволяє зловмиснику читати внутрішній вихідний код та отримувати доступ до захищених ресурсів;
- Blind XSS дозволяє зловмисникові отримати доступ до внутрішнього порталу підтримки для відстеження проблем клієнтів та співробітників;
- Виконання PhantomJS на стороні сервера дозволяє зловмиснику отримати доступ до внутрішніх ресурсів та отримати ключі AWS IAM тощо.
Одним із доменів Apple, де були уразливості, був сайт Apple Distinguished Educators (“ade.apple.com”), і ці вразливості дозволяли здійснювати обхід автентифікації за допомогою пароля за замовчуванням (“### INvALID #%! 3”), дозволяючи зловмиснику отримати доступ до консолі адміністратора та виконати довільний код. Подібним чином, баг у процесі скидання пароля, пов’язаний із додатком DELMIA Apriso, системою управління складом продукції, дав змогу створювати та модифікувати поставки, інформацію про запаси, перевіряти значки співробітників і навіть повністю контролювати програмне забезпечення, створюючи користувачів з адміністаторськими повноваженнями.
Окрему уразливість виявили також у службі Apple Books for Authors, яка використовується авторами для написання та публікації своїх книг на платформі Apple Books. Зокрема, використовуючи інструмент завантаження файлів ePub, дослідники змогли маніпулювати HTTP-запитами з метою запуску довільних команд на сервері “author.apple.com”.
Серед інших критичних ризиків, виявлених дослідниками, були ризики, пов’язані з уразливістю міжсайтових сценаріїв (XSS) у домені “www.icloud.com”, який діє, просто надіславши жертві із адресою iCloud.com або Mac.com спеціальний електронний лист, яка при відкритті через Apple Mail у браузері дозволяв зловмисникові викрасти всі фотографії та контакти. Більше того, вразливість XSS можна було використовувати як “черв’яка”, тобто вона могла легко поширюватися після активації, надсилаючи подібний електронний лист на кожну адресу iCloud.com або Mac.com, що зберігається в контактах жертви.
“Коли ми вперше починали цей проект, ми навіть не підозрювали, що витратимо трохи більше трьох місяців на його завершення”, – зазначив Сем Каррі у своєму дописі в блозі. “Це спочатку задумувалося як допоміжний проект, над яким ми працювали час від часу, але з урахуванням всього додаткового вільного часу завдяки пандемії, кожен з нас витратив кілька сотень годин на це”.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Шахрайство, оманливий дизайн, або як торгові сайти змушують Вас витрачати більше?
Найпоширеніші схеми кіберзлочинців та способи захисту від них. Поради
Як користуватися спеціальними піктограмами програм на Вашому iPhone та iPad? – ІНСТРУКЦІЯ
Як перемістити програми з бібліотеки додатків на головний екран на iPhone?– ІНСТРУКЦІЯ
Чим Вам загрожує підключення невідомих USB? Поради із захисту
Як зробити Chrome веб-браузером за замовчуванням на iPhone та iPad? – ІНСТРУКЦІЯ
Кібератаки та шкідливі програми – одна з найбільших загроз в Інтернеті. Дізнайтеся з підбірки статей, як виникло шкідливе програмне забезпечення та які є його види, що таке комп’ютерний вірус, про усі види шкідливого ПЗ тощо.
До речі, дослідники розкрили подробиці про критичну уразливість в додатку Instagram для Android, експлуатація якої дозволяла віддаленим зловмисникам перехопити контроль над цільовим пристроєм шляхом відправки спеціально створеного зображення.
Цікаво знати, що кіберполіція затримала злочинну групу, яка за допомогою скімінгових пристроїв виготовляла дублікати банківських карток. Далі з цих карток знімали готівку. За це зловмисникам загрожує до 12 років ув’язнення.
Також після додавання до свого функціоналу аудіо-твітів для iOS у червні, Twitter зараз експериментує з ідеєю дозволити людям записувати та надсилати голосові повідомлення за допомогою прямих повідомлень.
Важливо знати, що хакерам вдалося обійти захист iOS 14 на пристроях, що базуються на процесорі Apple A9.