IT-инфраструктура для бизнеса и творчества
Разработка
Nazigul Jusupova

Apple извинилась перед пользователем «Хабра» — он нашёл четыре уязвимости в iOS, но за полгода компания исправила одну Статьи редакции

Компания не выплатила вознаграждение, и пользователь решил опубликовать данные в открытом доступе.

  • Исследователь безопасности Денис Токарев 24 сентября опубликовал подробную информацию о трёх уязвимостях iPhone, а также исходный код, который может воспроизводить и использовать их.
  • По его словам, в период с 10 марта по 4 мая он сообщал об уязвимостях Apple. Компания отвечала, что получила его сообщения и начала расследование. Обнаружение уязвимостей в рамках программы Apple Security Bounty оценивается в размере $100 тысяч, но компания так и не выплатила Токареву вознаграждение.
  • Только после того, как Токарев обнародовал данные об ошибках, Apple связалась с ним, пишет Vice. В письме компания извинилась за задержку ответа и сообщила, что продолжает расследовать уязвимость.
  • Всего исследователь обнаружил четыре уязвимости. Одну из них Apple уже исправила, она давала доступ к медицинской информации и данным об использовании устройства. А остальные могли открыть доступ к полному имени, контактам и проверить, установлено ли то или иное приложение.
{ "author_name": "Nazigul Jusupova", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u0438","apple"], "comments": 69, "likes": 99, "favorites": 25, "is_advertisement": false, "subsite_label": "dev", "id": 298753, "is_wide": true, "is_ugc": false, "date": "Tue, 28 Sep 2021 13:21:05 +0300", "is_special": false }
(function () { let cdnUrl = `https://specialsf378ef5-a.akamaihd.net/SelectelBranding/images/` let previousArticleNumber = null let currentArticleNumber = 0 let platform = 'Desktop' let articles = [ // { // name: 'camera', // url: `${cdnUrl}CameraCat`, // text: 'умную камеру для\u00A0наблюдения за\u00A0котиками', // link: '1', // num: 3 // }, { name: 'chill', url: `${cdnUrl}ChillCat`, text: 'трекер, который подскажет, когда пора отдохнуть', link: 'https://vc.ru/promo/288561-eye-tracker', num: 1 }, { name: 'cloud', url: `${cdnUrl}CloudCat`, text: 'котика: даёшь ему «пять», а\u00A0он делает бэкап в облако', link: 'https://vc.ru/dev/294799-maneki-neko', num: 2 } ] let buttonCycle = document.querySelector('.button--cycle') let buttonChoose = document.querySelector('.button--choose') let buttonMobile = document.querySelector('.button--mobile') let textField = document.querySelector('.selectel-footer-subtitle') let imageAgent = document.querySelector('.image--agent') let banner = document.querySelector('.selectel-footer') buttonCycle.addEventListener('click', cycleClick) buttonChoose.addEventListener('click', () => sendEvent(`Promo ${articles[currentArticleNumber].num} Left`, 'Click')) buttonMobile.addEventListener('click', () => sendEvent(`Promo ${articles[currentArticleNumber].num} Left`, 'Click')) let media = window.matchMedia("(max-width: 570px)") media.addEventListener('change', matchMedia) function matchMedia() { if (media.matches) { platform = 'Mobile' } else { platform = 'Desktop' } update() } matchMedia() function cycleClick(event) { sendEvent(`Promo ${articles[currentArticleNumber].num} Right`, 'Click') if (event) { event.preventDefault() event.stopPropagation() } window.open('https://vc.ru/tag/selectelDIY', '_blank') //cycle(event) } function cycle(event) { // incrementArticleNumber() textField.innerHTML = generatedText() imageAgent.src = articles[currentArticleNumber].url + platform + '.svg?3' imageAgent.setAttribute("class", "") imageAgent.classList.add('image--agent', articles[currentArticleNumber].name) banner.href = articles[currentArticleNumber].link } function update() { banner.href = articles[currentArticleNumber].link imageAgent.src = articles[currentArticleNumber].url + platform + '.svg' textField.innerHTML = generatedText() } function incrementArticleNumber() { previousArticleNumber = currentArticleNumber if (currentArticleNumber >= articles.length - 1) { currentArticleNumber = 0 } else { currentArticleNumber++ } } const sendEvent = (label, action = 'Click') => { const value = `SelectelDIY — loc: Footer — ${label} — ${action}`; if (window.dataLayer !== undefined) { window.dataLayer.push({ event: 'data_event', data_description: value, }); } }; function generatedText() { let defaultText if (platform === 'Desktop') { defaultText = `Мы тут собрали %text%. Хотите научим?` } else { defaultText = `Мы тут собрали %text%.` } return defaultText.replace('%text%', articles[currentArticleNumber].text) } function getRandom(min, max) { min = Math.ceil(min) max = Math.floor(max) return Math.floor(Math.random() * (max - min + 1)) + min } (function create() { currentArticleNumber = getRandom(0, articles.length - 1) cycle() let page = document.querySelector('.page--entry') if (page) { function insertAfter() { let parents = page.querySelectorAll('[data-id="7"]') let referenceNode = parents[0] referenceNode.parentNode.insertBefore(banner, referenceNode.nextSibling); loaded() } setTimeout(() => insertAfter(), 0) } }()) function loaded() { banner.classList.add('loaded') } loadImages([ `${cdnUrl}CameraCatDesktop.svg`, `${cdnUrl}ChillCatDesktop.svg`, `${cdnUrl}CloudCatDesktop.svg`, `${cdnUrl}CameraCatMobile.svg`, `${cdnUrl}ChillCatMobile.svg`, `${cdnUrl}CloudCatMobile.svg?3`, ]) function loadImages(urls) { return Promise.all(urls.map(function (url) { return new Promise(function (resolve) { var img = document.createElement('img'); img.onload = resolve; img.onerror = resolve; img.src = url; }); })); } }())
0
69 комментариев
Популярные
По порядку
Написать комментарий...

Ну красавчик же - Денис Токарев. И неважно, что это Apple. За слова нужно отвечать при любом раскладе. Отдайте пацану его 400к $, негодяи, он их заработал, сделав, за Вас, Вашу же работу.

109

Судя по тому, что он нашел, назвать это уязвимостями нельзя. Полагаю, что яблочники дают бабло за уязвимости, дающие получить рута как максимум или хоть доступ к полному управление учеткой пользователя. 

–26

Чего мелочиться!

Если не получен доступ к счетам со знаменитым запасом кэша эппла, то «нисчетова!»

Ну или хотябы доступ к счету Эппл Кард Кука.

27

У него Сберпей

7

Ну тогда, блять, всё пропало! Шли к успеху, но не фартануло!))

5

Мне уже следователь звонил по заявлению ЦБ РФ. Говорят, что я мошенник.

1

Не беспокойтесь! Просто называете им код по телефону, и они отменят получение кредита и перебросят ваши средства на безопасные счета!

3

Мне скучно стало, я сразу представился сотрудником ЦБ и попросил уточнить, кто именно им прислал. :)

1

Моему другу как-то позвонили на работу(на мобилу). Следователь МВД. По вопросу перекинуть на безопасные счета. Ну там как всегда все сводится в итоге к звонку с реального номера МВД (подмена номера). Называется фамилия следователя(реальная), туда сюда, клиент спрашивает адрес, кабинет... и с изумлением слышит в ответ номер своего кабинета. 🤣🤣🤣. И говорит в трубку: "слышь, а где ты есть, почему я тебя не наблюдаю в кабинете за соседним столом? " 🤣🤣🤣

2

Вот это вполне себе можно назвать уязвимостью:

«Позволяет получить доступ к следующим данным:

e-mail аккаунта Apple ID, в который выполнен вход на устройстве и полное имя владельца этого Apple ID, а также authentication token, позволяющий отправлять запросы на сервера Apple от имени этого Apple ID»

6

Ни одного из вышеперечисленных там нем. email  + auth token -  позволяет управлять учетной записью или appleID

0

Вопрос в том, что там может быть плот-твист в виде выхода кода из контейнера приложения, например через garbage collector как это провернул Pegasus

2

дающие получить рута как максимум или хоть доступ к полному управление учеткой пользователя

😏 С такой уязвимостью денег можно хапнуть куда побольше даже не связываясь с яблоком

1

Лайкнул твой коммент, чтобы @Tim Cook прочитал его, когда в след.раз зайдёт на VC – он по утрам тут обычно за завтраком зависает. ред.

4

за что деньги ? За то что он спалил 4 бекдора АНБ из которых только 1му смогли сделать замену.

2

Хреновые, значит, были бэкдоры. Ни очень-то и «бэк», но вполне себе «доры»)).

3

Это были honey pot для Russian hackers

0

Олды знают как задать вопрос )

2
Розовый алмаз

Как бы не признали «иностранным агентом» при получении.

3
Технологический Мурод

Комментарий удален по просьбе пользователя

0
Розовый алмаз

В смысле что всех причастных и даже просто сочувствующих Навальному признают иностранными агентами.
Даже Потапенко за наличие акций иностранной компании яндекс сняли.

выразил возможный сценарий.  ред.

0
Технологический Мурод

Комментарий удален по просьбе пользователя ред.

2
Розовый алмаз

Это да )))
Один уже накидал депутатам иностранного бабла. Не признали.

1

И деньги не выплатит, сославшись на то, что уязвимости опубликовали в общий доступ…

31

«Денис, финдир уже вот буквально после обеда собирался подписать вашу платежку, но из-за публикации все аннулируем»

100

Опубликовал он их, чтобы Apple, наконец, прореагировала — ровно так и получилось.

Из оригинального поста:

«В соответствии с responsible disclosure policy, Google Project Zero раскрывает уязвимости через 90 дней после уведомления вендора, ZDI — через 120, независимо от того, исправлена уязвимость или нет. Я же выждал намного больше (до полугода) и 10 дней назад предупредил Apple, о том, скоро буду вынужден публично раскрыть эти уязвимости. Ответа не последовало, поэтому я решил написать эту статью»

16

Не понятно только, причём тут Google и ZDI? На правила Apple видимо ссылаться было не практично? 🤣

–7

У Apple нет правил относительно публичного раскрытия уязвимостей. Ссылка на Google Project Zero и ZDI по той причине, что это достаточно известные программы по которым авторы раскрывают публично уязвимость, если разработчик не выпустил патч в течение 90-120 дней. Это нормальная практика выждать какое-то время, и если ничего не произошло, то обнародовать детали. Автор выждал 180 дней, больше, чем это делают крупные игроки.

12

Researchers must:
Be the first party to report the issue to Apple Product Security.
Provide a clear report, which includes a working exploit (detailed below).
Not disclose the issue publicly before Apple releases the security advisory for the report. (Generally, the advisory is released along with the associated update to resolve the issue).

Что-то есть. 🤣

0

и где тут указан срок?
А если они никогда не выпустят фикс, как в случае из поста?

0

..Not disclose the issue publicly before Apple releases the security advisory for the report..

Или эппл должен делать как Гугл?🤣

P. S. Помните, что говорят про благие намерения? ред.

0

Конечно нет, эпол должен вести себя как последний мудак, а фанаты должны поклоняться) 

0

На правила Apple видимо ссылаться было не практично?

Так у Apple только одно правило - Apple не виноват, вы просто неправильно его держите 😂

3

Как вариант, могут сказать, что найденные уязвимости вовсе не "уязвимости".
Думаю, найдут на что сослаться, чтобы заплатить меньше или не платить совсем 

0

В следующий раз кто-то продаст уязвимости более платежеспособным людям. 

43

Судя по описанию - много за такое не дадут

2

Пару лет дадут точно

17

Мир в очередной раз обнаружил главную уязвимость Apple — жадность

24

Все техно-гиганты жадные, просто apple стал наглее)

1

Возможно Эппл их оставила для своих целей и продажи бэкдора для партнёров, а тут с Хабра тип их находить )))

13

После прочтения такое ощущение как будто меня нае*али, ажтрисет

5

Так бабки выплатила или нет ?

3

По ходу, теперь выплатят, а парень, и правда, красавчик! Не понимаю, почему Эпл так затянули и не реагировали как положено на письма.

6

Не выплатит. Но их программе нельзя раскрывать уязвимость до фикса. К тому же они один фикс выкатили, а Хантера не уведомили. Выходит, что кинули пацана.

3

Как минимум за один то должны выплатить, они же закрыли уязвимость

0

За пацана обидно, да(  Остальные компании тоже так реагируют что ли?

0

По таким правилам выгоднее эти уязвимости продавать🙃

0

А мне что-то не особо верится, что выплатят. Ну поживем - увидим. 

–1

Если выплатят, я сообщу. Но шансы близки к нулю. Если бы у меня была уверенность, что рано или поздно мне заплатят, я бы не стал вообще что-либо публиковать

2

Если бы выплатили, об этом был бы заголовок 

1

Извинения на хлеб не намажешь, как говорится. Это все слова и пустая болтовня со стороны яблочников. Где реальные дела? 

3

немного не в тему, но вопрос из реальности:

а эти bug bounty выплаты будут проходить как нарушение 113-ФЗ ?)
почему про это никто никогда не напишет?

вот как 100к баксов получить на карту сбера например?) как такие вопросы решаются

0

Скорее всего подписывается договор об оказании услуг \ консалтинге в рамках которого выплачивается вознаграждение. Эппл тоже не может "просто так" отправить 100к на какой то счет и списать это в расходы - в бухгалтерии с их стороны тоже должно быть основание такого платежа.

Обладая договором и внятной причиной платежа не вижу причин почему 100к не могу придти на счет в условный сбер или любой другой банк. ред.

3

Для получения выплат нужен аккаунт разработчика, Apple на него закидывает деньги, соответственно выплаты ничем не отличаются от выплат продаж в App Store, можно получать сразу на рублевый счет, минуя валютный контроль

2

так такие деньги не в сбербанк приходят)

0

а куда? вот рядовой программист из урюпинска  нашел уязвимость
иии как получить кучу баксов?)

0

открыть счёт в ориентированном на премиум сегмент банке и заплатить налог

0

пример банка из премиум сегмента приведите плиз, а то я что-то не догоняю

0

Центральный Банк Урюпинска - для тех, кому фартануло!

2

Пройти валютный контроль.

0

Комментарий удален

Комментарий удален

Комментарий удален

Как тут любят писать - видимо у него просто телефон на андроид.

0

знаем для чего Apple оставляет уязвимости и передаём привет спец.агенту Джонсу который читает наши сообщения :)

0

Если он так хотел выплату, то мог же просто написать в Эпл и уточнить. Всё же это большая корпорация, в которой такие вещи без приоритетного внимания могут просто теряться или жить своими процессами без каких-либо уведомлений.
Но теперь за 3 репорта не получит выплаты - нарушил правила, обнародовав их

0

Если бы они мое письмо с вопросами "просто потерялось", тогда в письме, которое они прислали в ответ на него, содержались бы ответы. А раз они продолжают игнорировать мои вопросы, это еще один показатель того, что меня просто решили кинуть, и никаких выплат бы не было в любом случае. Я не первый, с кем они так поступают. Но обычно люди до последнего надеются, что получат деньги, поэтому молчат и публикуют гневные посты, только когда в итоге получают официальный отказ или прождав несколько лет и так и не получив ответа. Но их посты не наносят достаточного ущерба репутации Apple, потому что уязвимости давно исправлены, и юзерам все равно.

0

можно было бы обнародовать одну, зачем все вываливать?

0

Очередной наивный юноша хотел заработать деньжат продав уязвимость компании производителю, ахахахха
Не заработал даже на дошик, когда ж вы поумнеете а?))

0
Читать все 69 комментариев
В Японии установили торговые автоматы со случайными авиабилетами по стране Статьи редакции

Peach Aviation не получает большой прибыли от автоматов, зато на популярности компании это сказывается хорошо.

Аппарат Peach Aviation Vice
Объявлены победители Finlanding
HTC показала новую VR-гарнитуру — компания прифотошопила устройство к стоковым фотографиям Статьи редакции

«Трудно поверить, что ваша вещь хороша, если вам пришлось прифотошопить её к модели. Почему бы не сделать новую фотографию?», — пишет The Verge.

The Verge
Минюст признал «Росбалт» и Republic «иностранными агентами» Статьи редакции
Дефицит цифровых кадров в России и их подготовка

Весь мир переходит в цифровую среду. Пока в ежегодном глобальном рейтинге конкурентоспособности Россия занимает 43-е место, но задерживаться на нем не намерена. Для этого правительство запустило программу «Цифровая экономика РФ», которая будет поддерживать цифровую экономику в стране и подготовку необходимых кадров.

«Российский рынок акций был и остаётся одним из самых привлекательных в мире»

Виталий Исаков, директор по инвестициям УК «Открытие» («Открытие Инвестиции»).

Будущее наступит во вторник на OneRetailConf
Одно лишнее слово убило доверие: на встрече с Джобсом стартапер попытался завысить оценку и остался без сделки и бизнеса Статьи редакции

5 октября 2021 года, в десятилетнюю годовщину смерти Стива Джобса, предприниматель и автор проекта iLike Али Партови вспомнил об уроке, усвоенном после встречи с соучредителем Apple. А именно: не пытайся блефовать, если нет козырей.

Соучредитель музыкального сервиса iLike и образовательной платформы code.org Али Партови CNBC
Чем плох SkyEng и что лучше него в разы

Учителя-студенты по цене профессиональных тьюторов-носителей. Обман, чтобы получить оплату. Игнор просьб и требований клиента.

Стоимость биткоина превысила $60 тысяч на фоне планов о создании биржевого фонда на базе биткоин-фьючерсов Статьи редакции

Впервые этой отметки биткоин достиг в марте 2021 года

«Spotify: История продукта». Как мы разработали алгоритмы музыкальных рекомендаций

Из онлайн-библиотеки — в сервис персонализированных рекомендаций.

null