Команда «белых» хакеров во главе с 20-летним Сэмом Кёрри потратила 3 месяца на поиск уязвимостей в продуктах Apple. С 6 июля по 6 октября они обнаружили 55 уязвимостей, с помощью которых смогли получить контроль над корневой инфраструктурой Apple и похитить данные из iCloud, почты и нескольких других сервисов.
Кёрри опубликовал в своём блоге пост, озаглавленный «Мы хакали Apple три месяца: вот что мы нашли». В нём он подробно рассказывает об особенностях и методах взлома различных сервисов. Наибольший интерес представляет атака на облачное хранилище iCloud и тесно связанный с ним почтовый сервис Apple.
Злоумышленник мог отправить жертве с адресом в домене @icloud.com или @mac.com письмо, содержащее вредоносный код. От неё требовалось только открыть послание — как только это происходило, запускался спрятанный в письме скрипт, который позволял атакующему получать доступ к чужим данным в iCloud, как только жертва зайдёт в облачное хранилище через браузер. Главная задача хакера — заставить жертву перейти из письма в iCloud, а это можно сделать разными способами (например, сообщением о том, что аккаунт взломан, и его необходимо защитить).
Процесс атаки наглядно показан в этом видео:
Ситуацию ухудшало то, что встроенный в письмо скрипт мог работать как троян и копировал себя в письма, которые рассылались по всему контакт-листу атакованного пользователя. Таким образом количество взломанных аккаунтов могло увеличиваться в геометрической прогрессии.
Ещё одна критическая уязвимость связана с сайтом Apple Distinguished Educators, который предназначен для онлайн-обучения. В некоторых случаях аккаунтам присваивался дефолтный пароль ###INvALID#%! 3, и залогиниться в них можно было без дополнительной проверки в обход сервиса Sign In With Apple.
Хакеры также смогли методом брутфорса подобрать пароль к пользователю с ником erb на одном из сайтов Apple, после чего залогинились ещё в несколько аккаунтов, принадлежащих сотрудникам компании, и у одного из них обнаружились привилегии администратора сети. Таким образом у них оказался администраторский доступ к консоли Jive, на которой запущен один из форумов Apple. Далее хакеры запустили управляющие команды на сервере, который управляет поддоменом ade.apple.com, и получили доступ к сервису, на котором хранятся логины и пароли сотрудников Apple. Имея эти данные, можно было проникнуть во внутреннюю компьютерную сеть компании и нарушить работу многих систем.
Из 55 уязвимостей, найденных Кёрри и его командой, 11 были признаны критическими, 29 высокой степени опасности, 13 умеренно опасными и две относительно безопасными. Компания Apple уже выплатила хакерам 51 500 долларов за информацию о четырёх уязвимостях и собирается перечислить 237 тысяч долларов ещё за 28 проблем, а общая сумма выплат за проделанную ими работу может превысить 500 тысяч долларов.
Как рассказал Кёрри, все раскрытые им с товарищами проблемы уже закрыты. Устранение уязвимостей обычно занимало один-два дня, но в некоторых случаях инженеры Apple справлялись гораздо быстрее — за 4-6 часов.
