Per mesi, la rete aziendale di Apple è stata a rischio di attacchi informatici che avrebbero potuto sottrarre dati sensibili a potenziali milioni di clienti ed eseguire codici dannosi sui loro telefoni e computer, ha rivelato giovedì un esperto di sicurezza.
Sam Curry, un ricercatore di 20 anni specializzato nella sicurezza dei siti web, ha affermato che, in totale, lui e il suo team hanno rilevato all’interno della rete Apple ben 55 vulnerabilità. Undici di queste sono state classificate come critiche, perché hanno permesso al team di prendere il controllo dell’infrastruttura principale di Apple e da lì rubare e-mail private, dati di iCloud e altre informazioni private.
Tra gli 11 bug critici:
- Esecuzione di codice in modalità remota tramite autorizzazione e bypass dell’autenticazione;
- Il bypass dell’autenticazione tramite autorizzazioni configurate in modo errato che consente l’accesso amministratore globale;
- Esecuzione di codice in modalità remota ed esposizione del tool di amministrazione;
- Compromissione dell’account utente e del dipendente che consente l’accesso a varie applicazioni interne;
- Iniezione verticale del SQL tramite parametro di input infettato;
- Compromissione dell’account iCloud della vittima tramite l’XSS infettato;
- Esposizione del codice sorgente interno, che concede di accedere alle risorse protette;
- Accesso al portale di supporto interno per il monitoraggio dei problemi dei clienti e dei dipendenti;
Apple ha prontamente risolto le vulnerabilità dopo che Curry le ha segnalate nell’arco di tre mesi. La società ha finora elaborato circa la metà delle vulnerabilità e si è impegnata a pagare 288.500 dollari per il lavoro svolto. Una volta che Apple elaborerà il resto, ha detto Curry, il pagamento totale potrebbe superare i 500.000 dollari.
“Se i problemi fossero stati sfruttati da un malintenzionato, Apple avrebbe dovuto affrontare una massiccia divulgazione di informazioni e perdita di integrità”, ha detto Curry in una chat online poche ore dopo aver pubblicato un articolo intitolato “Abbiamo hackerato Apple per 3 mesi: ecco cosa abbiamo trovato”.
“Ad esempio, gli aggressori avrebbero avuto accesso agli strumenti interni utilizzati per la gestione delle informazioni sugli utenti e sarebbero stati in grado di modificare i sistemi in modo da farli funzionare a loro piacimento”.
Curry ha detto che il progetto di hacking era una joint venture che includeva anche alcuni colleghi ricercatori.
Tra i rischi più gravi c’erano quelli rappresentati da una vulnerabilità di scripting cross-site archiviata (tipicamente abbreviata come XSS) nel parser JavaScript utilizzato dai server su www.iCloud.com. Poiché iCloud fornisce servizi ad Apple Mail, il difetto avrebbe potuto essere sfruttato inviando a qualcuno con un indirizzo iCloud.com o Mac.com un’e-mail che includesse caratteri dannosi. Il bersaglio deve solo aprire l’email per essere hackerato. Una volta che ciò è accaduto, uno script nascosto all’interno dell’e-mail dannosa avrebbe consentito all’hacker di eseguire tutte le azioni che il bersaglio poteva eseguire quando accedeva a iCloud nel browser. Di seguito è riportato un video che mostra un exploit proof-of-concept che ha inviato tutte le foto e i contatti del bersaglio all’attaccante.
Curry ha affermato che la vulnerabilità XSS archiviata era “wormable“, il che significa che avrebbe potuto diffondersi da utente a utente semplicemente inviando un’email dannosa. Questo worm avrebbe funzionato includendo uno script nascosto ad ogni indirizzo iCloud.com o Mac.com nell’elenco dei contatti delle vittime.
Una vulnerabilità separata, in un sito riservato ad Apple Distinguished Educators, era il risultato dell’assegnazione di una password predefinita – “### INvALID #%! 3” (senza virgolette) – quando qualcuno inviava una domanda che includeva un nome utente, nome e cognome, indirizzo email e datore di lavoro. “Se qualcuno avesse fatto una domanda utilizzando questo sistema e fossero esistite funzionalità in cui era possibile autenticarsi manualmente, sarebbe stato possibile accedere semplicemente al proprio account utilizzando la password predefinita e ignorare completamente il login ‘Accedi con Apple’ “, ha scritto Curry.
Alla fine, gli hacker sono stati in grado di utilizzare il bruteforcing per indovinare un utente con il nome “erb” e, con questo, per accedere manualmente all’account dell’utente. Gli hacker hanno quindi effettuato l’accesso a diversi altri account utente, uno dei quali disponeva dei privilegi di “amministratore principale” sulla rete. Con il controllo dell’interfaccia, gli hacker avrebbero potuto eseguire comandi arbitrari sul server Web controllando il sottodominio ade.apple.com e accedere al servizio LDAP interno che memorizza le credenziali dell’account utente. Con ciò, avrebbero potuto accedere a gran parte della restante rete interna di Apple.
In tutto, il team di Curry ha trovato e segnalato 55 vulnerabilità, 11 critiche, 29 alte, 13 medie e due basse.
Un rappresentante Apple ha rilasciato una dichiarazione:
“In Apple, proteggiamo con attenzione le nostre reti e disponiamo di team dedicati di professionisti della sicurezza delle informazioni, che lavorano per rilevare e rispondere alle minacce. Non appena i ricercatori ci hanno avvisato dei problemi descritti in dettaglio nel loro rapporto, abbiamo immediatamente risolto le vulnerabilità e preso provvedimenti per prevenire futuri problemi di questo tipo. Sulla base dei nostri log, i ricercatori sono stati i primi a scoprire le vulnerabilità, quindi siamo certi che nessun dato utente sia stato utilizzato in modo improprio. Apprezziamo la nostra collaborazione con i ricercatori sulla sicurezza per aiutare a mantenere i nostri utenti al sicuro e abbiamo accreditato il team per la loro assistenza e li ricompenseremo dal programma Apple Security Bounty.”
Fonte Fastweb.it