Một nhóm gồm 5 nhà nghiên cứu bảo mật đã phân tích một số dịch vụ trực tuyến của Apple trong ba tháng và tìm thấy tới 55 lỗ hổng, trong đó có 11 lỗ hổng nghiêm trọng.
Các lỗ hổng – bao gồm 29 lỗ hổng nghiêm trọng cao, 13 lỗ hổng mức độ nghiêm trọng trung bình và 2 lỗ hổng mức độ nghiêm trọng thấp – có thể cho phép kẻ tấn công “xâm phạm hoàn toàn các ứng dụng của khách hàng và nhân viên, khởi chạy một loại sâu có khả năng tự động chiếm tài khoản iCloud của nạn nhân, lấy mã nguồn cho các dự án nội bộ của Apple, thỏa hiệp hoàn toàn phần mềm kho kiểm soát công nghiệp được Apple sử dụng và tiếp quản các phiên làm việc của nhân viên Apple với khả năng truy cập các công cụ quản lý và tài nguyên nhạy cảm. “
Các lỗ hổng này có nghĩa là một kẻ xấu có thể dễ dàng chiếm đoạt tài khoản iCloud của người dùng và lấy cắp tất cả ảnh, thông tin lịch, video và tài liệu, ngoài việc chuyển tiếp cùng một khai thác đến tất cả các liên hệ của họ.
Những phát hiện đã do Sam Curry đưa tin cùng với Brett Buerhaus, Ben Sadeghipour, Samuel Erb và Tanner Barnes trong khoảng thời gian ba tháng từ tháng Bảy đến tháng Chín.
Sau khi chúng được tiết lộ một cách có trách nhiệm với Apple, nhà sản xuất iPhone đã thực hiện các bước để vá các lỗ hổng trong vòng 1-2 ngày làm việc, với một số lỗi khác được sửa trong khoảng thời gian ngắn 4-6 giờ.
Cho đến nay, Apple đã xử lý khoảng 28 lỗ hổng bảo mật với tổng số tiền thanh toán là 288.500 USD như một phần của chương trình thưởng lỗi của họ.
Các lỗi nghiêm trọng được Sam Curry và nhóm nghiên cứu chỉ ra như sau:
- Thực thi mã từ xa thông qua cấp phép và bỏ qua xác thực
- Bỏ qua xác thực qua Quyền được định cấu hình sai cho phép Quyền truy cập của quản trị viên toàn cầu
- Chèn lệnh thông qua đối số tên tệp chưa được vệ sinh
- Thực thi mã từ xa thông qua Công cụ quản trị viên bị lộ và bí mật bị rò rỉ
- Rò rỉ bộ nhớ dẫn đến Thỏa hiệp tài khoản người dùng và nhân viên cho phép truy cập vào các ứng dụng nội bộ khác nhau
- Vertica SQL Injection thông qua Tham số đầu vào không được vệ sinh
- Wormable được lưu trữ XSS cho phép kẻ tấn công thỏa hiệp hoàn toàn tài khoản iCloud của nạn nhân
- Wormable được lưu trữ XSS cho phép kẻ tấn công thỏa hiệp hoàn toàn tài khoản iCloud của nạn nhân
- Phản hồi đầy đủ SSRF cho phép kẻ tấn công đọc mã nguồn nội bộ và truy cập tài nguyên được bảo vệ
- Blind XSS cho phép Kẻ tấn công truy cập Cổng hỗ trợ nội bộ để theo dõi vấn đề của khách hàng và nhân viên
- Thực thi PhantomJS phía máy chủ cho phép kẻ tấn công truy cập tài nguyên nội bộ và lấy khóa AWS IAM
Một trong những miền của Apple bị ảnh hưởng bao gồm trang web Nhà giáo dục nổi bật của Apple (“ade.apple.com”) cho phép bỏ qua xác thực bằng mật khẩu mặc định (“### INvALID #%! 3”), do đó cho phép kẻ tấn công để truy cập bảng điều khiển dành cho quản trị viên và thực thi mã tùy ý.
Tương tự như vậy, một lỗ hổng trong quá trình đặt lại mật khẩu được liên kết với một ứng dụng có tên là DELMIA Apriso, một giải pháp quản lý kho hàng, có thể tạo và sửa đổi các lô hàng, thông tin hàng tồn kho, xác nhận phù hiệu của nhân viên và thậm chí có toàn quyền kiểm soát phần mềm bằng cách tạo ra giả người dùng.
Một lỗ hổng riêng biệt cũng được phát hiện trong dịch vụ Apple Books for Authors được các tác giả sử dụng để giúp viết và xuất bản sách của họ trên nền tảng Apple Books. Cụ thể, bằng cách sử dụng công cụ tải lên tệp ePub, các nhà nghiên cứu có thể thao tác các yêu cầu HTTP nhằm mục đích chạy các lệnh tùy ý trên máy chủ “author.apple.com”.
Trong số các rủi ro quan trọng khác được các nhà nghiên cứu tiết lộ là những rủi ro bắt nguồn từ lỗ hổng tập lệnh chéo trang (XSS) trong miền “www.icloud.com”, hoạt động bằng cách chỉ gửi một mục tiêu với địa chỉ iCloud.com hoặc Mac.com a Email được chế tạo đặc biệt, khi được mở qua Apple Mail trong trình duyệt, cho phép kẻ tấn công lấy cắp tất cả ảnh và danh bạ.
Hơn nữa, lỗ hổng XSS có thể bị sâu, có nghĩa là nó có thể dễ dàng lây lan bằng cách gửi một email tương tự đến mọi địa chỉ iCloud.com hoặc Mac.com được lưu trữ trong danh bạ của nạn nhân.
“Khi chúng tôi lần đầu tiên bắt đầu dự án này, chúng tôi không biết rằng chúng tôi sẽ dành một chút thời gian hơn ba tháng để hoàn thành nó,” Sam Curry lưu ý trong bài đăng trên blog của mình. “Ban đầu đây chỉ là một dự án phụ mà thỉnh thoảng chúng tôi sẽ làm việc, nhưng với tất cả thời gian rảnh rỗi cùng với đại dịch, chúng tôi cuối cùng đã dành vài trăm giờ cho nó.”
