Apple поблагодарила исследователя безопасности в примечаниях к исправлениям ОС всего через несколько дней после того, как ему было предъявлено обвинение в схеме, которая позволила ему украсть продукты, подарочные карты и услуги Apple на миллионы долларов.

Ной Роскин-Фрейзи, исследователь безопасности, связанный с ZeroClicks Lab, получил похвалу от Apple за выявление уязвимостей программного обеспечения. Однако недавно он попал под пристальное внимание из-за использования уязвимости, которая позволила ему украсть iPhone, Mac и подарочные карты на колоссальную сумму в 2,5 миллиона долларов.

По данным 404Media, Роскин-Фрейзи обнаружил уязвимость в Toolbox, серверной системе, которую Apple использует для приостановки заказов. В режиме ожидания заказы по-прежнему можно редактировать.

Он вместе с предполагаемым сообщником Китом Латтери использовал инструмент сброса пароля, чтобы получить доступ к учетной записи сотрудника сторонней компании, которая помогала Apple в поддержке клиентов. Получив доступ к учетным данным сотрудников, они получили доступ к системам Apple и разместили мошеннические заказы на продукцию Apple.

Пара начала эту схему в декабре 2018 года и продолжала действовать как минимум до марта 2019 года.

Эти двое будут создавать заказы и манипулировать ими, добавляя такие продукты, как iPhone и Mac, и сводя стоимость к нулю. Они также заказывали подарочные карты, которые можно было использовать в магазинах Apple или перепродать.

Хотя они использовали вымышленные имена и адреса прямой доставки для физических продуктов, один из них продлил AppleCare на два года для себя и своей семьи.

Apple благодарит Роскина-Фрейзи

Возможно, одна из самых интересных вещей в этой истории заключается в том, что через две недели после ареста Роскина-Фрейзи Apple публично поблагодарила его на своем веб-сайте.

Уязвимости программного обеспечения — это большой бизнес — как их поиск, так и эксплуатация.

Лаборатория угроз Jamf недавно разработала метод проверки концепции после взлома, который заставляет iPhone вести себя так, как будто он находится в режиме блокировки, хотя это не так.

Даже Apple Vision Pro небезопасен. За день до его выпуска исследователь безопасности заявил, что создал эксплойт ядра для VisionOS, открывающий путь к потенциальному джейлбрейку и созданию вредоносного ПО.

Как уважаемый исследователь безопасности украл у Apple миллионы

©