Entre o período de 6 de julho a 6 de outubro deste ano, os hackers Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb e Tanner Barnes trabalharam juntos para invadir plataformas e serviços da Apple a fim de descobrir uma série de pontos fracos — e eles descobriram.
De acordo com uma publicação no blog de Curry, os hackers descobriram 55 vulnerabilidades de diferentes gravidades, algumas delas inclusive críticas, que poderiam ter permitido a invasores comprometerem totalmente os aplicativos de clientes e funcionários, assumir o controle da conta iCloud da vítima, recuperar o código-fonte para aplicações internas, entre outros.
Como parte do Apple Security Bounty, programa de recompensas da companhia por vulnerabilidades, o grupo conseguiu receber um bom pagamento pelas descobertas. Até o começo desta semana, eles haviam recebido US$51.500 — mas é possível que o montante final seja ainda maior.
Como ninguém realmente sabia muito sobre o programa de recompensa por falhas, estávamos entrando em um território desconhecido com um investimento de tempo muito grande. A Apple tem uma história interessante de trabalho com pesquisadores de segurança, mas parece que seu programa de divulgação de vulnerabilidades é um grande passo na direção certa para trabalhar com hackers na proteção de ativos e permitir que os interessados encontrem e relatem vulnerabilidades.
Eles também afirmaram que a Apple tomou medidas em relação à “grande maioria” de suas descobertas — geralmente dentro de um ou dois dias úteis e, às vezes, em apenas algumas horas.
Com a permissão da equipe de segurança da Apple, o grupo publicou um extenso relatório que detalha uma série de vulnerabilidades em sistemas da Maçã e como elas foram exploradas.
via iMore