Zestawienie tygodniowe 5 – 12 października

Apple płaci konkretne bug bounty

Zespół badaczy otrzymał od Apple setki tysięcy dolarów jako nagrody za zgłoszenie 55 luk w zabezpieczeniach, w tym tych, które ujawniły kod źródłowy, aplikacje pracowników i klientów, oprogramowanie magazynowe oraz konta iCloud.

Naukowcy Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb i Tanner Barnes postanowili na początku lipca wziąć udział w programie wykrywania błędów firmy Apple i spróbować znaleźć jak najwięcej luk w systemach i usługach tego giganta technologicznego. Poszło im nadspodziewanie dobrze. Od 6 lipca do 6 października wykryli i zgłosili łącznie 55 problemów, w tym 11 z oceną krytyczną i 29 z oceną wysoką. Do tej pory Apple dokonało 32 płatności na rzecz badaczy na łączną kwotę 288 500 USD, ale zespół badaczy zapowiada, że w nadchodzących miesiącach otrzyma więcej za swoje odkrycia.

Naukowcy powiedzieli na blogu opublikowanym w tym tygodniu, że zdecydowana większość luk w zabezpieczeniach, które zgłosili Apple, została załatana. Firma naprawiła niektóre z poważniejszych problemów w ciągu kilku godzin.

Za zgodą Apple hakerzy „w białych kapeluszach” ujawnili szczegóły kilkunastu interesujących luk w zabezpieczeniach, które znaleźli podczas trzymiesięcznego projektu. Na przykład znaleźli sposób na ominięcie uwierzytelniania i autoryzacji w witrynie Apple Distinguished Educators, co ostatecznie mogło pozwolić atakującemu na wykonywanie dowolnych poleceń na serwerze internetowym Apple, dostęp do wewnętrznej usługi zarządzania kontem użytkownika i dostęp do „większości Sieci wewnętrznej Apple ”.

Przeanalizowali również rozwiązanie do zarządzania magazynem innej firmy używane przez Apple i odkryli luki w zabezpieczeniach, które mogły zostać wykorzystane do uzyskania bardzo wrażliwych informacji lub spowodowania poważnych zakłóceń.

Ponadto odkryli błędy w przechowywanych skryptach krzyżowych (XSS) w platformie iCloud, które mogły zostać wykorzystane do wykonania dowolnego kodu w przeglądarce użytkownika lub stworzenia robaka pocztowego, który mógłby po cichu modyfikować lub kraść informacje z kont iCloud, w tym zdjęcia i filmy. Również w przypadku iCloud wystąpił błąd służący do fałszowania żądań po stronie serwera (SSRF), który mógł zostać wykorzystany do uzyskania dostępu do kodu źródłowego Apple i włamania do wewnętrznej sieci Apple.

W rzeczywistości istniało kilka luk w zabezpieczeniach, które można było wykorzystać w celu uzyskania dostępu do wewnętrznej sieci Apple i wykonywania dowolnych poleceń na niektórych serwerach internetowych firmy.

Badacze poinformowali również o znalezieniu tajnych kluczy, które mogły umożliwić atakującemu uzyskanie danych z wewnętrznego środowiska AWS Apple, błędów IDOR, które można było wykorzystać do uzyskania lub zmodyfikowania danych, oraz luk w zabezpieczeniach XSS, które mogły zapewnić dostęp do poufnych danych użytkownika.

„Five Eyes” żąda dostępu do szyfrujących aplikacji!

Sojusz wywiadowczy „Five Eyes” zażądał w niedzielę, aby firmy technologiczne wstawiały „tylne drzwi” do zaszyfrowanych aplikacji, aby umożliwić organom ścigania dostęp, którego potrzebują do ścigania przestępczości internetowej.

Najwyżsi urzędnicy wymiaru sprawiedliwości w Stanach Zjednoczonych, Wielkiej Brytanii, Australii, Kanadzie i Nowej Zelandii powiedzieli w oświadczeniu, że rozwój kompleksowo zaszyfrowanych aplikacji, które uniemożliwiają oficjalny nadzór – takich jak Signal, Telegram, FaceBook Messenger i WhatsApp – „stwarzają poważne wyzwania dla bezpieczeństwa publicznego”.

„W rządach i instytucjach międzynarodowych panuje coraz większa zgoda co do konieczności podjęcia działań” – czytamy w oświadczeniu- „Chociaż szyfrowanie jest niezbędne, a prywatność i bezpieczeństwo cybernetyczne muszą być chronione, nie powinno to odbywać się kosztem całkowitego uniemożliwienia organom ścigania i samej branży technologicznej możliwości przeciwdziałania najpoważniejszym nielegalnym treściom i działaniom online”.

Wezwali firmy technologiczne do „uwzględnienia bezpieczeństwa publicznego w projektach systemów”, zapewniając dostęp organom ścigania” w czytelnym i użytecznym formacie”.

Było to jak dotąd najsilniejsze wezwanie do włączenia dostępu „tylnymi drzwiami” do zaszyfrowanych programów komunikacyjnych.

Indie i Japonia, które współpracują w wywiadach z grupą Five Eyes, podpisały się pod oświadczeniem.

Organy ścigania na całym świecie skarżyły się na trudności, jakie zaszyfrowana komunikacja stanowi dla dochodzeń karnych. Ale szyfrowanie typu end-to-end zapewnia również ochronę wszelkiego rodzaju działań, od biznesu po sprzeciw polityczny. Zwolennicy ochrony prywatności twierdzą, że kodowanie środków umożliwiających egzekwowanie prawa dostępu do komunikacji użytkownika może zagrozić działaczom na rzecz demokracji i wzmocnić pozycję rządów dyktatorskich.

W ostatnich latach w Stanach Zjednoczonych i Europie narosła presja, aby zmusić producentów aplikacji szyfrujących do zapewnienia dostępu organom ścigania.