Apple plačal zajetno nagrado odkriteljem ranljivosti v svojem omrežju

V Applu so skupinici white-hat hekerjev, ki je v preteklih mesecih v velikanovem širšem računalniškem omrežju odkrila več deset resnih ranljivosti, izplačali skoraj tristo tisoč dolarjev, vsota pa bo v prihodnjih dneh še narasla.

Resna informacijska podjetja se zavedajo, da je navkljub sposobnim notranjim ekipam varnostnih strokovnjakov še vedno mogoče spregledati grde odprtine v digitalnem oklepu, zato nagrajujejo zunanje raziskovalce-poševnica-hekerje, ki drezajo v njihovo obrambo iz plemenitih razlogov iskanja ranljivosti. V Cupertinu imajo v ta namen postavljen program Apple Security Bounty, ki ga je sedaj za komunikacijo z njimi uporabila skupinica petih hekerjev okoli Sama Curryja. Gruča se je zadnje tri mesece potikala po notranjosti Applovega omrežja in na plano privlekla 55 ranljivosti, "11 od teh kritičnih". Apple jim je do tega trenutka že izplačal 288.500 ameriških dolarjev nagrade, ko pa bodo strokovnjaki predelali vse prijavljene šibkosti, bo vsota verjetno presegla pol milijona dolarjev. Težave sicer nimajo povezave z luknjo v varnostnem čipu T2, ki je pred dnevi prav tako prišla na dan.

Med ranljivostmi, ki so jih odkrili Curry in druščina, so tudi takšne, ki bi lahko sprožile avtomatizirano širjenje zlobne kode med računalniki Applovih uslužbencev ali zlikovcem omogočile krajo uporabniških podatkov z iClouda, v skrajnem primeru pa celo prevzem notranjih Applovih omrežij. Zanimivejša je na primer najdena ranljivost na napad XSS (Cross-Site Scripting), kjer bi napadalci v JavaScript kodo, ki jo uporabljajo iCludovi strežniki, lahko zapakirali napad, ki bi se sprožil že samo, ko bi uporabnik iClouda odprl pošto, prispelo z okuženega strežnika; to bi nato napadalcem omogočilo, da snamejo vsebino uporabnikove shrambe v oblaku. Tako je treba ob koncu poudariti, da čeprav se zdi izplačana nagrada nemajhna, pa bi bili stroški, če bi navedene ranljivosti izkoristili nepridipravi, za Apple še neprimerno večji.