חוקר אבטחה מהודו זכה ב-5,000 דולר מאפל באמצעות תוכנית הבאגים שלה, לאחר שגילה פגם בסקריפט חוצה אתרים (XSS) ב-iCloud. מאז גילוי הבעיה, אפל תיקנה את הבעיה ב-iCloud.com.
הפגיעות שמצא Vishal Bharad כללה יצירת קובץ ב-Pages או Keynotes באתר iCloud, חלק מ-AppleiWorkעָנִיץ. הקובץ נוצר עם שם ספציפי שהכיל את הרצויXSSמטען.
לאחר שליחת הקובץ למשתמש אחר או שיתוף פעולה עמו, התוקף נאלץ לבצע שינויים במסמך ולשמור אותו, יעץ החוקר ב-פוסט בבלוג. שינוי "עיון בכל הגרסאות" בהגדרות ואז מפעיל את הפעלת מטען ה-XSS במכשיר של המשתמש האחר.
הבאג מוכר לאפל זמן רב, כאשר בהרד חשפה אותו לחברה ב-7 באוגוסט 2020. לאחר שבדקה את הדוח ואת השלבים לשחזור, כמו גם סרטון המדגים את הבאג, אפל העניקה לבאראד 5,000 דולר על 9 באוקטובר. בהרד חשף בפומבי את הפגם ב-14 בפברואר.
החוקר הודה כי הבאג התגלה כחלק ממסע דיג כדי לנסות ולגלות לפחות בעיה אחת באתר iCloud. לאחר שלא הצליח למצוא בעיות בתחומים כמו CSRF, IDOR ובאגים בלוגיקה עסקית, Bharad עבר לאיתור באגים ב-XSS, תחום חלש עבור החוקר.
לאחר מכן הם "הכניסו מטענים לכל מקום" במטרה למצוא דרכים להציג ולהפעיל מטען שלא התגלה קודם לכן, מה שהם הצליחו בסופו של דבר להשיג.
ביום חמישי פרסמה אפל אמדריך מפורטלמנגנוני אבטחה הכלולים במוצרי התוכנה והחומרה שלה. זה כלל עדכונים על תכונות אבטחה הקשורות לM1שבב, הiMessageמנגנון ארגז חול הנקראBlastDoor, ותוכנית הבאונטי שלה.
אפל פתחה את זהתוכנית הבאונטי באגלכל החוקרים ב-2019 במקביל להגדלת שיעורי התשלום עבור באגים שנחשפו לתקרה של מיליון דולר במקרים מוגבלים. התגמולים הרווחיים משכו רבים להתחיל לקחת על עצמם את האבטחה של אפל.
אחד "היכנס עם אפל"פְּגִיעוּתשנחשף במאי 2020 הרוויח למגלה 100,000 דולר, בעוד שצוות חוקרים השקיעשלושה חודשיםפריצה לאפל והרוויחה יותר מ-50,000 דולר באוקטובר.
ב-10 בפברואר, התברר כי חוקר אבטחה פרץ למכשירמערכות פנימיותשל מספר חברות גדולות, כולל אפל, מיקרוסופט ו-PayPal. הם הרוויחו יותר מ-130,000 דולר בהטבות באגים, כאשר אפל תרמה 30,000 דולר.
