0
0
Hackers éticos até agora ganharam quase US$ 300 mil em pagamentos do programa de recompensa de bugs da Apple por descobrir 55 bugs, 11 deles críticos, durante um hack de três meses.
Um grupo de hackers éticos abriu a infraestrutura e os sistemas da Apple e, ao longo de três meses, descobriu 55 vulnerabilidades, várias das quais teriam dado aos invasores controle total sobre aplicativos de clientes e funcionários.
Note-se que um bug crítico e wormable de aquisição de contas do iCloud permitiria que os invasores roubassem automaticamente todos os documentos, fotos, vídeos e muito mais da vítima.
A descoberta pelos hackers Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb e Tanner Barnes demonstrou fraquezas fundamentais na infraestrutura “massiva” da empresa, enquanto também rendeu à equipe quase US$ 300.000 até o momento em recompensas por seus esforços, escreveu Curry em um extenso post no blog detalhando as descobertas da equipe.
Entre as falhas encontradas em partes centrais da infraestrutura da Apple estão as que teriam permitido que um invasor: “comprometer totalmente os aplicativos de clientes e funcionários; lançar um worm capaz de assumir automaticamente a conta do iCloud da vítima; recuperar código-fonte para projetos internos da Apple; comprometem totalmente um software de armazém de controle industrial usado pela Apple; e assumir as sessões dos funcionários da Apple com a capacidade de acessar ferramentas de gestão e recursos sensíveis”, escreveu.
Das 55 vulnerabilidades descobertas, 11 foram classificadas com gravidade crítica, 29 com alta gravidade, 13 com média gravidade e duas com baixa gravidade. Os pesquisadores classificaram os bugs com base na classificação de vulnerabilidade e gravidade do CvSS e “nossa compreensão do impacto relacionado aos negócios”, disse Curry.
O bug wormable iCloud é um problema de scripting cross-site (XSS), de acordo com a gravação. O iCloud é um mecanismo de armazenamento automático para fotos, vídeos, documentos e dados relacionados a aplicativos para produtos Apple. Além disso, esta plataforma fornece serviços como Mail e Find my iPhone.
“O serviço de e-mail é uma plataforma de e-mail completa onde os usuários podem enviar e receber e-mails semelhantes ao Gmail e ao Yahoo”, explicou Curry. “Além disso, há um aplicativo de e-mail tanto no iOS quanto no Mac que é instalado por padrão nos produtos. O serviço de correio está hospedado em www.icloud.com ao lado de todos os outros serviços, como armazenamento de arquivos e documentos.”
Ele acrescentou: “Isso significava, do ponto de vista dos atacantes, que qualquer vulnerabilidade de script de sites cruzados permitiria que um invasor recuperasse qualquer informação que quisesse do serviço iCloud.”
Ele descobriu tal bug depois de caçar por um tempo: “Quando você tinha duas tags de estilo dentro do e-mail, o conteúdo das tags de estilo seria concotado em uma tag de estilo”, disse ele. Isso significava que se pudéssemos colocar ‘</sty’ na primeira tag e ‘le>’ na segunda tag, seria possível enganar a aplicação para pensar que nossa tag ainda estava aberta quando realmente não estava.”
A equipe foi finalmente capaz de criar uma prova de conceito que demonstrou código que rouba todas as informações pessoais do iCloud da vítima (fotos, informações de calendário e documentos) e então encaminha a mesma exploração para todos os seus contatos.
Ilia Kolochenko, fundadora e CEO da empresa de segurança web ImmuniWeb, disse que o sucesso dos caçadores de recompensas deve ser um alerta.
“Infelizmente, não há garantia de que essas vulnerabilidades não tenham sido exploradas por atores de ameaças sofisticados para comprometer silenciosamente as vítimas VIP”, disse ele por e-mail. “Pior, provavelmente mais vulnerabilidades semelhantes existem desconhecidas e podem ser conhecidas por grupos de hackers que ganham muito dinheiro com sua exploração. Aplicativos web modernos abrem as portas para redes corporativas com as informações mais críticas, e sua violação pode ser fatal para uma empresa.”
Apple Response e $300.000
Por sua vez, a Apple respondeu rapidamente aos relatórios de bugs, corrigindo a maioria deles no momento em que o post entrou em operação, com remediação típica ao saber das falhas que ocorrem dentro de um a dois dias úteis, e responder a algumas vulnerabilidades críticas em apenas quatro a seis horas, reconheceu.
“No geral, a Apple foi muito sensível aos nossos relatórios”, disse Curry, acrescentando que, “até agora, 8 de outubro, recebemos 32 pagamentos totalizando US$ 288.500 por várias vulnerabilidades”. Esse número pode aumentar à medida que a Apple tende a pagar em “lotes”, de modo que os hackers antecipam mais pagamentos nos próximos meses, disse ele.
O programa público de recompensa de bugs da Apple – no qual todas as partes interessadas podem participar – é um caso bastante recente. A empresa abriu um programa historicamente privado ao público em dezembro passado, após anos de críticas de desenvolvedores, que argumentaram que a empresa precisava ser mais transparente sobre falhas em seu hardware e software. Também incluiu um pagamento máximo de US$ 1 milhão para adoçar o negócio.
De fato, Curry – que se intitula um caçador de recompensas de bugs em tempo integral – disse que estava inspirado a montar a equipe de hackers para espiar sob o capô da infraestrutura da Apple depois de saber no Twitter do prêmio de US$ 100.000 de um pesquisador da Apple por descobrir um bypass de autenticação que permitia acesso arbitrário a qualquer conta do cliente da Apple.
“Isso foi surpreendente para mim, pois entendi anteriormente que o programa de recompensa de bugs da Apple apenas concedia vulnerabilidades de segurança que afetavam seus produtos físicos e não pagavam por problemas que afetavam seus ativos na Web”, escreveu ele.
Uma vez que ele descobriu que a Apple estava disposta a pagar por vulnerabilidades “com impacto significativo para os usuários” independentemente de o ativo estar ou não explicitamente listado no escopo, foi o jogo em diante, disse ele.
“Isso me chamou a atenção como uma oportunidade interessante para investigar um novo programa que parecia ter um amplo escopo e funcionalidade divertida”, escreveu Curry no post. Ele decidiu convidar hackers com quem trabalhou no passado no projeto, mesmo sabendo que todos a bordo sabiam que não havia garantia de pagamentos para suas descobertas.
As vulnerabilidades críticas que a equipe descobriu em seu trabalho são as seguintes: Compromisso Total do Programa de Educadores Distintos da Apple via Autenticação e Bypass de Autorização; Compromisso Total do aplicativo DELMIA Apriso via Bypass de Autenticação; Vulnerabilidades de script de sites cross-site armazenadas wormable permitem que o invasor roube dados do iCloud através de um e-mail modificado; Injeção de Comando no ePublisher do autor; Resposta completa SSRF no iCloud permite que o Invasor recupere o Código Fonte da Apple; Acesso ao painel de depuraçãode nova administração via vazamento de erro de descanso ; Chaves secretas AWS via PhantomJS iTune Banners e Título do Livro XSS; Dump heap no Apple eSign permite que o invasor comprometa várias ferramentas externas de gerenciamento de funcionários; Processamento de entidade externa XML para SSRF Cego em API de Gestão Java; Injeção GBI Vertica SQL e API GSF Exposta; Várias vulnerabilidades do IDOR; e várias vulnerabilidades cegas do XSS.
Os hackers receberam permissão da equipe de segurança da Apple para publicar detalhes sobre os bugs críticos, todos corrigidos e retestados, disse Curry.
As descobertas são um lembrete alarmante de que mesmo as maiores empresas de tecnologia subestimam consideravelmente sua segurança de aplicativos web, de acordo com Kolochenko.
“A maioria das organizações simplesmente investe em algumas ferramentas automatizadas de digitalização e testes de penetração recorrentes, mas sem implementar um programa abrangente de segurança de aplicativos”, disse ele. “Esse programa incluirá treinamentos regulares de codificação segura para desenvolvedores de software, introduzindo controles de segurança destinados a detectar vulnerabilidades no estágio inicial do desenvolvimento – a chamada abordagem ‘shift-left’ – e fornecendo diretrizes de segurança rigorosas para softwares desenvolvidos por terceiros. Finalmente, o software moderno deve incorporar a privacidade por design para permitir uma conformidade perfeita com regulamentos como CCPA ou GDRP.”
FONTE: THREATPOST