Apple поблагодарила исследователя безопасности в примечаниях к исправлениям ОС всего через несколько дней после того, как ему было предъявлено обвинение в схеме, которая позволила ему украсть продукты, подарочные карты и услуги Apple на миллионы долларов.
Ной Роскин-Фрейзи, исследователь безопасности, связанный с ZeroClicks Lab, получил похвалу от Apple за выявление уязвимостей программного обеспечения. Однако недавно он попал под пристальное внимание из-за использования уязвимости, которая позволила ему украсть iPhone, Mac и подарочные карты на колоссальную сумму в 2,5 миллиона долларов.
По данным 404Media, Роскин-Фрейзи обнаружил уязвимость в Toolbox, серверной системе, которую Apple использует для приостановки заказов. В режиме ожидания заказы по-прежнему можно редактировать.
Он вместе с предполагаемым сообщником Китом Латтери использовал инструмент сброса пароля, чтобы получить доступ к учетной записи сотрудника сторонней компании, которая помогала Apple в поддержке клиентов. Получив доступ к учетным данным сотрудников, они получили доступ к системам Apple и разместили мошеннические заказы на продукцию Apple.
Пара начала эту схему в декабре 2018 года и продолжала действовать как минимум до марта 2019 года.
Эти двое будут создавать заказы и манипулировать ими, добавляя такие продукты, как iPhone и Mac, и сводя стоимость к нулю. Они также заказывали подарочные карты, которые можно было использовать в магазинах Apple или перепродать.
Хотя они использовали вымышленные имена и адреса прямой доставки для физических продуктов, один из них продлил AppleCare на два года для себя и своей семьи.
Возможно, одна из самых интересных вещей в этой истории заключается в том, что через две недели после ареста Роскина-Фрейзи Apple публично поблагодарила его на своем веб-сайте.
Уязвимости программного обеспечения — это большой бизнес — как их поиск, так и эксплуатация.
Лаборатория угроз Jamf недавно разработала метод проверки концепции после взлома, который заставляет iPhone вести себя так, как будто он находится в режиме блокировки, хотя это не так.
Даже Apple Vision Pro небезопасен. За день до его выпуска исследователь безопасности заявил, что создал эксплойт ядра для VisionOS, открывающий путь к потенциальному джейлбрейку и созданию вредоносного ПО.