Комментарии 56
Исследуешь MacOS -> не получаешь денег и известности, в ярости публикуешься на хабре, получаешь письмо от юротдела Apple, акционеры Apple покупают новый бентли.
Исследуешь Linux -> не получаешь денег, получаешь уважение и отличную запись в CV, публикуешься на хабре и получаешь карму, акционеры Apple покупают б.у. доширак у тебя.
Есть ещё вариант: находишь rce или icloud access, выставляешь на тендер, получаешь миллион от какого-то очередного пегасуса.
... После чего уже пишешь в саппорт эппл и предлагаешь рассказать как пегасус их ломает за скромную сумму в поллимона.
Есть брокеры, чтобы избежать этого. А вот раскрытие уязвимости вендору приведет к юр проблемам.
Доступа к данным вы не получили.
Пререквизиты атаки очень специфические: " Для того чтобы вызвать панику ядра необходимо подключиться к сети, которую раздаёт устройство под управлением операционной системы на основе XNU (macOS, iOS, iPadOS), и отправить два пакета на любой интернет ресурс с порта 0 на разные порты назначения." Ребутать случайный макбук или Айфон не выйдет.
На те сотни тысяч понятно что можно и не рассчитывать. Ни одна номинация не подходит. Эппл могли бы для такого сделать еще одну номинацию и с наградой уровня пары макбуков. Это было бы честно.
Это с точки зрения разработчиков, которые стремятся к идеальному миру «ой какая проблема».
Да, есть такое дело. Сам разработчик) Но ведь что-то работает не так. Когда начнёшь разбираться — возможно это превратится в веревочку и потянет за собой ещё чего посерьёзнее. И мне кажется повысить стабильность и надёжность важнее того, что бы в каждом апдейте заниматься перетаскиванием значков туда-сюда или озабочиваться «концептуальной» сменой цветов интерфейса.
P.S.
Как же мне повезло что я хардварщик =) Тут даже если есть обоснованное подозрение на баг тебя всегда выслушают и даже время дадут на «рыбалку». Можно получить какое-то логичное удовлетворение законченной работы, а не сдавать её с техническими долгами.
Обычно, баг упирается в сотрудников, у которых решение багов в kpi. Возможно, он упирается также в сотрудников без бюджета на выплату баунти и тут уже действительно, могут начинаться проволочки и корп. бюрократия, особенно, если баг не попадает под какой-нибудь внутренний классификатор и его нельзя вменяемо в итоге провести по бухгалтерии.
Это корпоративное размазывание ответственности, замыливание сложных рабочих моментов перекидыванием мячика, довольно часто встречающаяся штука, боль больших коллективов.
У любой крупной компании миллионы, если не миллиарды вещей которые могут ударить по репутации. Без формализации никуда. Нельзя хвататься за все подряд.
Всё это верно. Но должны быть приоритеты. Нынешние приоритеты бизнеса — логотипы, заставки и фантики, а не надёжность, безопасность и стабильная работоспособность. Когда автопроизводитель игнорит по полгода баг об удалённом глушении двигателя — это ненормально и ничем это не оправдывается. И подобных случаев — вагон.
С точки зрения доходности надо в наркосферу идти, тут тебе и бешеные доходы и потребители любой валютой голосуют. И что мне с того, что с точки зрения доходности это будет верно? Я не склонен сам себя считать альтруистом, но не всё упирается в только одно зарабатывание денег и именно поэтому начиная с некоторых масштабов начинаются всякие «корпоративные культуры», «миссии компании» и прочие ценности.
Бизнес просто свой сверхдоход делает за счёт приватности, анонимности и безопасности таких как мы. Но 99% на это всё наплевать, поэтому эппл и дальше будет зарабатывать, а PinePhone будет влачить на донатах. И получается, если раскручивать цепочку обратно, то по вашему это нормально потому что прибыли большие, а они хорошие потому что 99% плевать. А я раз 1%, то это мои проблемы личные. Но всё же не это значит, что происходящее — нормально! Большинство может очень легко заблуждаться…
Разве не достаточно подключиться к той же сети, что и атакуемое устройство?
Публичный WiFi, например?
если мак раздает инет, то ребутнув его можно заставить всех переподключиться, передав данные авторизации,которые будут перехвачены. То есть взломать вайфай соседа и пользоваться сетью за его счет (за счёт его комфорта). Раньше был способ получения доступа к вайфай, при котором от имени раздающего устройства к подключённым отправлялись пакеты требующие авторизоваться снова, при их повторном подключении (как правило автоматическом) данные авторизации перехватывались, взлом занимал несколько секунд, с ребутом будет чуть дольше.
Напомнило:
Однажды давным давно, играясь с Паскалем, DOS графическим режимом и форматом BMP, заметил что формат ICO очень на него похож и немного отличается заголовком. Склеив их как получилось заметил что не могу проводником зайти в папку содержащую данную иконку. Т.е. Windows пытаясь отрисовать иконку завершала процесс который запустил отрисоку иконки. Просто рассказал друзьям, те ещё друзьям.
А потом спустя 4 года мне показали експлойт, который использовал выход за границы памяти при неверном заголовке файла ICO и поднимал шелл на порту ХХХ. И самое прикольное было вставить неверную иконку в качестве Favicon при этом спрайт 16х16 оставить корректным, а неправильный заголовок расместить в другом спрайте, то просто посетив страницу с такой иконкой - ты открывал на порту ХХХ (заранее определялся при изготовлении иконки) открытый Telnet от имени администратора в полностью невидимом виде. до перезагрузки компьютера. Даже в списке процесов его небыло, использовалась память каких то драйверов вроде мышки.
Причём использовались именно те биты которые я случайно нашёл 4 года назад и подумал - там можно просто закрыть любую программу, какая же тут ценность.
Если kernel panic, то разве не получается, что если дальше копнуть, то можно выполнить любой код? Не просто так, он падает?
Или ошибаюсь?
Падает на assert, т.е. проверка "а не пишем ли мы в нулевой порт" уже была, просто уровня "да кто в своём уме будет в него писать, но если уж попытался, то можно и грохнуться, а то полноценную обработку ошибки долго писать".
Зависит от кучи разных факторов, начиная с технологий аля ASLR, до небольшого места на исполнение Вашего кода.
Эпл не выполнила условия публичного договора, тут надо не на Хабр писать, а в суд подавать. 250к хорошие деньги
Выглядит так, как будто кто-то там присвойл себе вознаграждение, думал что не заметите.
А теперь немного заметает следы.
на самом деле, все гораздо проще - найденный баг не подходит не под одну из категорий вознаграждения. Т.к. для того чтобы использовать эту уязвимость, нужно чтобы юзер расшарил с нападающим интернет. Никто не шарит интернет просто так и на всех.
так и было бы, если бы они так и ответили, а не отмалчивались. И ведь вначале то оперативно отвечали, а потом "замяли" вопрос.
По сути ребятам не ответили на их последнее письмо, что не есть нормально.
Но ни о каком присваивании речи нет, баг не в категориях.
Заголовок конечно громкий, но как бы эмоционально это не было обидно, по факту это не "apple кинула", а "apple не отвечает на наше последнее письмо".
Я согласен с комментом выше, нормально было бы ввести хоть какой то reward за такие штуки от самой дорогой компании мира, но это не 250к$
Все гораздо проще. Это большая корпорация - пришел тикет на общий email, из него автоматом создался тикет в треккинг системе (по тексту письма видно). И вся остальная "переписка" была не больше чем обновнолением к этому тикету. Частично сгенерированно по шаблону (вроде письма при создании тикета), частично ответ. Но как только они выпустили все патчи, тикет закрылся и на него никто не будет обращать внимание. Плюс, сообщение о том, что "уязвимость не попадает под программу" не может написано просто так - у них либо должен быть шаблон, и такой ответ должен пройти проверку тех же юристов. Просто решили не заморачиваться и игнорировать.
Прочитал. Подумал - ай-ай-ай, какие нехорошие капиталисты. Начал вдаваться в детали. Действительно в багбаунти программе нет категории DoS. Наверное, это не очень хорошо, но похоже на то, что действительно эппл не должен был платить по официальной версии. Значит, обидки тут неправомочны, а заголовок вводит в заблжудение
Согласен. Вот тут подробнее:
https://www.cvedetails.com/cve/CVE-2021-30924/
Confidentiality Impact: None (There is no impact to the confidentiality of the system.)
Integrity Impact: None (There is no impact to the integrity of the system)
Availability Impact: Complete (There is a total shutdown of the affected resource. The attacker can render the resource completely unavailable.)
Access Complexity: Low (Specialized access conditions or extenuating circumstances do not exist. Very little knowledge or skill is required to exploit. )
Authentication: Not required (Authentication is not required to exploit the vulnerability.)
Gained Access: None
Ну так вы не взломали ничего. Вы нашли случай не покрытый тестами. Это как крашнуть онлайн калькулятор введя "5/0".
И никто не мешает первым письмом послать «мы нашли такой-то баг, который может привести к таким-то последствиям, сообщите пожалуйста под какую категорию баг-баунти это попадает и как правильно оформить заявление чтобы то самое баунти потом получить, спасибо. Будем рады сотрудничеству...»
такое надо писать на medium с обязательным пиаром своей статьи через twitter, статья в так называемом русскоязычном Интернете, скорее всего, ни на что не повлияет
Не вижу ничего такого, чтобы прям так громко заявлять в заголовке статьи "Apple кинула". Как статья с описанием баги - пойдет. Заголовок провокационный.
Более того, считаю, что Apple полностью выполнила свою работу и оперативно исправила багу, завела CVE. Даже поблагодарила нашедших, вписав их имена в credits!
Про вознаграждение речи даже по заявленной bug-bounty программе быть не может. Apple могла бы заплатить символическую сумму за багу, но сочла это не нужным. Неприятно конечно, но это не "кидок".
Также могу сказать авторам, что другие крупные вендоры(не такие огромные как apple, но всё же) могут игнорировать не то что assertion crash, а целый RCE, не выпуская фиксы. Не говоря уже о выплатах и благодарностях.
Под тот же windows сейчас полно всяких LOL-drivers, CVE crash generator'ов и никому до этого дела нет. Увы.
Ну по хорошему плохому надо писать краткое описание бага и объявлять аукцион - с одной стороны белое и пушистое яблоко, с другой - мрачный и хищный darkweb. Интересно, способна ли новость типа "Известная хакерская группировка приобрела 0-day эксплойт у русского хакера пожелавшего остаться неизвестным" слегка подуронить акции?
На основе этой ситуации можем предположить, что Apple намеренно не регистрируется на площадках bug-bounty для сокрытия информации о найденных уязвимостях и их количестве, а также для усложнения получения вознаграждений.
По своему опыту, регистрация на Hackerone и подобных площадках никак не защищает от такого. Более того, иногда даже мешает. В прошлом году было довольного много случаев, когда компании пытались кинуть на выплаты. Например, одна крупная компания V**a выпустила дырявую акцию, через которую утекали данные участников из-за проблемы в Телеграм-боте этой акции. В итоге сотрудники платформы, которые пытались ее проверить, не смогли воспроизвести проблему, выполнив описанные шаги (возможно, из-за низкой квалификации, низких зарплат или лени), но не хотели передавать ее сотрудникам компании. После ряда аккуратных вопросов "А чего так плохо-то все?" в обсуждение отчета пришел кто-то из руководства платфомы и стал грозить мне блокировкой аккаунта, если я буду публиковать детали проблемы или истории о том, как они ее не смогли проработать.
Платформам просто невыгодно давить на компании, так как именно они приносят им деньги, а хакер не платит ничего.
А почему он запрещал публиковать проблему, в существование которой не верил?
Формальная причина - программа закрытая, поэтому я не могу ни упоминать о том, что есть программа этой компании, ни о том, где она есть.
Неформальная, тут уже мои предположения, - сотрудник площадки очень сильно ошибся, плюс в целом некорректно себя вёл (нельзя отвечать раз в месяц, говорить, что ты не смог воспроизвести, а на вопрос о том, на каком это шаге было, убегать ещё на месяц, а потом признаваться, что вообще не понимаешь, как работают Телеграмм-боты). Плюс он рассказывал, что обсуждают проблему с внутренней компасной безопасности компании, а это потенциально может ударить по ним. В итоге решили перестраховаться, погрозив блокировкой.
И что в итоге было конкретно с этой компанией и вами?
Молодцы! Терерь не репортьте баги Яблочникам, ищите кто даст за них денег, желательно чтобы вам за это ничего плохого не было
Это уже n-статья на Хабре о кидалове исследователей разными компаниями.
Сходу:
Почему я отказался от 18 тысяч долларов по баунти-программе Apple.
Статья, в которой я раскрываю три 0-day уязвимости в iOS и критикую bug bounty программу Apple
Apple незаметно закрыла уязвимость, на которую жаловался пользователь «Хабра»
Функция Telegram «Люди рядом» раскрывает точные адреса
«ВКонтакте» не платит пользователям за найденные уязвимости
Как я нашел способ отследить всех водителей «Ситимобил»
Можно подумать и о создании нового хаба на Хабре: Bug bounty (продвигать эту тему, чтобы и менеджеры заметили).
И публиковать туда всякого рода подобные статьи (которых уже стало очень много здесь):
И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
Есть одна присказка
"Выигрывает тот, кто придумывает правила"
Наш первый опыт сдачи уязвимости по программе Apple Security Bounty