インドのセキュリティ研究者が、クロスサイト スクリプティング (XSS) の欠陥を発見した後、Apple のバグ報奨金プログラムを通じて 5,000 ドルを授与されました。iCloud。この問題の発見以来、Apple は iCloud.com でこの問題にパッチを適用しました。
Vishal Bharad が発見した脆弱性には、Apple のサービスの一部である iCloud Web サイト上の Pages または Keynotes にファイルが作成されることが含まれていました。私は働くバンドル。ファイルは、目的の内容を含む特定の名前で作成されました。XSSペイロード。
ファイルを別のユーザーに送信したり、他のユーザーと共同作業したりした後、攻撃者は文書に変更を加えて保存する必要があると研究者は論文でアドバイスした。ブログ投稿。設定で [すべてのバージョンを参照] を変更すると、他のユーザーのデバイスで XSS ペイロードの実行がトリガーされます。
このバグはかなり前から Apple に知られており、Bharad 氏は 2020 年 8 月 7 日に同社にこのバグを公表しました。レポートと再現手順、およびバグをデモンストレーションするビデオを検討した後、Apple は Bharad 氏に 5,000 ドルの賞金を授与しました。 10 月 9 日。Bharad は 2 月 14 日にこの欠陥を公表しました。
研究者は、このバグが iCloud Web サイトの少なくとも 1 つの問題を明らかにするための釣り旅行の一環として発見されたことを認めました。 CSRF、IDOR、ビジネス ロジックのバグなどの分野で問題を見つけることができなかった後、Bharad 氏は、研究者にとって苦手な分野である XSS のバグ発見に移りました。
その後、彼らは、これまで発見されていなかったペイロードを表示してトリガーする方法を見つけるために「あらゆる場所にペイロードを挿入」し、最終的にはそれを達成することができました。
木曜日、Apple は詳細なガイドソフトウェアおよびハードウェア製品に含まれるセキュリティ メカニズムに影響を与えます。これには、に関連するセキュリティ機能の更新が含まれます。M1チップ、iメッセージと呼ばれるサンドボックスメカニズムブラストドア、およびそのバグ報奨金プログラム。
アップルがオープンしたのは、バグ報奨金プログラム2019 年にすべての研究者に支給すると同時に、公開されたバグに対する報酬を、限られた場合に上限 100 万ドルに引き上げます。高額な報酬に惹かれ、多くの人が Apple のセキュリティに挑戦し始めました。
1 つの「Apple でサインイン」脆弱性2020年5月に公開されたこの論文は、発見者に10万ドルの収入をもたらし、一方研究者チームはそれを費やした3ヶ月Appleをハッキングして10月に5万ドル以上稼いだ。
2 月 10 日、セキュリティ研究者がハッキングしたことが明らかになりました。社内システムApple、Microsoft、PayPal を含む複数の大手企業の。彼らは 130,000 ドル以上のバグ報奨金を獲得し、Apple は 30,000 ドルを寄付しました。
Isamu 
Isamu 
Isamu