צוות של חוקרי אבטחה בילה שלושה חודשים בפריצה לאפל, גילה שלל נקודות תורפה בתשתית הדיגיטלית של החברה וקיבל תשלומי פרס בסכום כולל של יותר מ-50,000 דולר.
ענקית הטכנולוגיה קופרטינו שומרת על אתוכנית הבאונטי באגשמשלם לחוקרי אבטחה עבור נקודות תורפה שנמצאו. כפי שמציין החוקר סם קארי, הוא חשב בעבר שאפל שילמה פרסים רק עבור בעיות המשפיעות על מוצרים פיזיים כמואייפון.
אבל, ביולי, קארישם לבשלכאורה זמינים פרסים גם עבור תשתית אינטרנט. לפי עמוד תוכנית הבאונטי של אפל, החברה משלמת עבור נקודות תורפה עם "השפעה משמעותית על המשתמשים". לאחר מכן גייס קארי צוות של חוקרי אבטחה עמיתים - ברט בוארהאוס, בן סדגיפור, סמואל ארב וטאנר בארנס - והחל לבחון את המערכות של אפל.
לאחר שלושה חודשים של סריקת המערכות של אפל ובדיקת ניצולים שונים, הצוות מצא בסך הכל 55 נקודות תורפה בדרגות חומרה שונות. לפחות 11 דורגו כקריטיים ו-29 היו בדרגת חומרה גבוהה.
"במהלך ההתקשרות שלנו, מצאנו מגוון נקודות תורפה בחלקי הליבה של התשתית שלהם שהיו מאפשרות לתוקף לסכן באופן מלא יישומים של לקוחות ועובדים, להשיק תולעת המסוגלת להשתלט אוטומטית על חשבון iCloud של הקורבן, לאחזר קוד מקור עבור פרויקטים פנימיים של אפל, להתפשר באופן מלא על תוכנת מחסן בקרה תעשייתית המשמשת את אפל, ולהשתלט על המפגשים של עובדי אפל עם יכולת גישה לכלי ניהול ומשאבים רגישים.
הצוות לא הצליח לחשוף לעומק את כל הפגמים שמצאו, אבל קארי סיפק כתובות לכמה מהחולשות המעניינות יותר. הגילויים כוללים פשרה מלאה של תוכנית המחנכים הנכבדים של אפל; מתקפת סקריפטים בין-אתרים שעלולה לאפשר להאקרים לגנוב נתוני iCloud של משתמשים באמצעות דואר אלקטרוני; ופגיעות שאולי אפשרה לתוקפים לסכן את מערכת המלאי והמחסנים הפנימיים של אפל.
לאורך כל התהליך, קארי אמר שאנשי אבטחת המוצרים של אפל היו מאוד מגיבים. זמן האספקה הממוצע של דוחות אבטחה קריטיים היה כארבע שעות בין הגשה לתיקון. בדרך כלל, הפגמים תוקנו תוך יום עסקים אחד עד שניים, כאשר חלק מהתקלות תוקן תוך ארבע עד שש שעות.
נכון ל-4 באוקטובר, הצוות קיבל ארבעה תשלומי פרס בסך 51,500 דולר עבור חלק מהחולשות, ומצפה שאפל תשלח תשלום עבור פגמים קריטיים עוד יותר.
קארי אמר שהם קיבלו אישור מצוות אבטחת המוצר של אפל לפרסם מידע על הפגיעויות ו"עושים זאת לפי שיקול דעתם".
"כל הפגיעויות שנחשפו כאן תוקנו ונבדקו מחדש. נא לא לחשוף מידע הנוגע לאבטחה של אפל ללא רשותם", מציין קארי.
חוקרי האבטחה מציינים שהם נכנסו לפרויקט בצורה עיוורת, מכיוון שהמידע על תוכנית הבאגים של אפל הוא נקודתי. "די הרבה נכנסנו לטריטוריה לא מוכרת עם השקעת זמן כה גדולה", כתב קארי.
"לאפל הייתה היסטוריה מעניינת בעבודה עם חוקרי אבטחה, אבל נראה שתוכנית חשיפת הפגיעות שלהם היא צעד אדיר בכיוון הנכון לעבודה עם האקרים באבטחת נכסים ומאפשרת למעוניינים למצוא ולדווח על פרצות", כתב קארי.
