Apple trả thưởng 5.000 USD vụ lỗ hổng XSS trong iCloud

Apple trả thưởng 5.000 USD vụ lỗ hổng XSS trong iCloud
Tạp chí Nhịp sống số - Một nhà nghiên cứu bảo mật đến từ Ấn Độ đã được Apple thưởng 5.000 USD, thông qua chương trình săn lỗi nhận tiền thưởng (bounty hunter) sau khi phát hiện ra lỗ hổng cross-site scripting (XSS) trong iCloud.

Theo Apple Insider, lỗ hổng được Vishal Bharad tìm thấy liên quan đến việc tạo tập tin trong Pages hoặc Keynotes trên trang web iCloud, một phần của gói iWork của Apple. Tập tin được tạo với một tên cụ thể chứa các payload (phần dữ liệu được truyền đi) XSS mong muốn.

Sau khi gửi tập tin cho người dùng khác hoặc cộng tác với họ, kẻ tấn công thực hiện các thay đổi đối với tài liệu và lưu nó. Thay đổi "Browse All Versions" trong phần Settings sau đó sẽ kích hoạt việc chạy các payload XSS độc hại trên thiết bị của người dùng khác.

Lỗi này đã được Apple biết đến từ khá lâu khi Bahrad báo cáo với công ty vào ngày 7.8.2020. Sau khi xem xét báo cáo và thực hiện các bước tái tạo, cũng như một đoạn video chứng minh lỗi, Apple đã thưởng cho Bharad 5.000 USD vào ngày 9.10. Bharad đã công khai lỗ hổng vào ngày 14/2/2021 sau khi Apple hoàn thành việc sửa chữa.

Nhà nghiên cứu cho biết ông đã cố gắng thử và phát hiện ra ít nhất một vấn đề với trang web iCloud. Sau khi không tìm thấy các lỗ hổng trong các lĩnh vực như CSRF, IDOR và lỗi logic nghiệp vụ, Bharad sau đó chuyển sang tìm lỗi XSS - một lĩnh vực không phải chuyên môn đối với nhà nghiên cứu.

Apple mới đây cũng công bố một hướng dẫn chi tiết về các cơ chế bảo mật có trong các sản phẩm phần mềm và phần cứng của mình. Điều này bao gồm các cập nhật về các tính năng bảo mật liên quan đến chip M1, cơ chế hộp cát iMessage được gọi là BlastDoor và chương trình săn lỗi nhận thưởng.

Apple đã mở chương trình thưởng lỗi cho tất cả nhà nghiên cứu vào năm 2019 cùng lúc với việc tăng tỷ lệ trả cho các lỗi được tiết lộ lên mức trần 1 triệu USD trong một số trường hợp hạn chế. Phần thưởng hấp dẫn thu hút nhiều người bắt đầu tham gia vào việc bảo mật của Apple.

Một lỗ hổng "Sign In with Apple" được tiết lộ vào tháng 5.2020 đã mang về 100.000 USD cho người phát hiện, trong khi một nhóm nhà nghiên cứu đã dành ba tháng để tấn công Apple và kiếm được hơn 50.000 USD vào tháng 10.

Vào ngày 10.2.2021, có thông tin tiết lộ một nhà nghiên cứu bảo mật đã tấn công và tìm thấy nhiều hệ thống nội bộ của nhiều công ty lớn, bao gồm Apple, Microsoft và PayPal. Họ kiếm được hơn 130.000 USD tiền thưởng, trong đó Apple đóng góp 30.000 USD.

Có thể bạn quan tâm