Создатель сайтов Jailbreakme вернулся в университет

Взломщик iOS больше не работает в Apple

Кирилл Токарев 19 Октября 2012 - 11:22

Корпорации

iOS

Apple

Консалтинг по информационной безопасности

Средства поиска уязвимостей

...

Буквально вчера Николас Аллегра, также известный как взломщик iPhone, скрывавшийся под ником Comex, сообщил в Twitter, что с прошлой недели, спустя почти год трудоустройства, он более не работает на Apple.

Аллегра планирует сосредоточить свое внимание на обучении в университете Брауна. По его словам, возобновлять деятельность по взлому iOS у него нет никакого желания. Контракт с Apple не был продолжен потому, что он забыл ответить на предложение от компании.

Аллегра известен своей работой над сайтами Jailbreakme 2 и Jailbreakme 3, которые позволяли легко взламывать iOS-устройство и устанавливать на него различное не совсем легальное программное обеспечение. Apple наняла молодого специалиста в качестве удаленно работающего интерна. Эксперты полагают, что компания поступила таким образом попросту для того, чтобы отвлечь хакера от продолжения работы над взломом. Возможно, компания также пыталась усилить защиту iOS, рассчитывая на весомый вклад от Николоса.

Фото Николаса Аллегры с телефоном iPhone.

Разумеется, у недавно уволенного уже поинтересовались, не собирается ли он продолжить работу над эксклюзивным джейлбрейком iOS 6. Однако Аллегра отметил, что его контракт запрещал ведение подобной деятельности в течении некоторого времени после прекращения сотрудничества с фирмой из Купертино.

В интервью Forbes Аллегра повторил, что продление его контракта должны были рассматриваться Apple, однако отсутствие ответа со стороны хакера привело к тому, что предложение в итоге отозвали.

«Я не был особенно доволен таким исходом, но как-то решить этот вопрос мне все равно не удалось. Так уж получилось», – говорит Николас. Он добавил, что его уход не был вызван просто пропущенным email, но в детали не вдавался. Эксперт не считает такой финал плохим и говорит, что ему очень понравилось работать в знаменитой компании.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Марта 2026 - 16:10

Уязвимости сайтов Домашние пользователи Малый и средний бизнес

В Smart Slider 3 для WordPress нашли опасную брешь с риском захвата сайта

В плагине Smart Slider 3 для WordPress, который используется более чем на 800 тысячах сайтов, обнаружили неприятную уязвимость. Проблема позволяет аутентифицированному пользователю с минимальными правами — например, обычному подписчику — получить доступ к произвольным файлам на сервере.

Речь идёт об уязвимости CVE-2026-3098, которая затрагивает все версии Smart Slider 3 до 3.5.1.33 включительно. Исследователь Дмитрий Игнатьев сообщил о проблеме, после чего её подтвердили специалисты компании Defiant.

На первый взгляд уязвимость выглядит не самой страшной: для её эксплуатации нужна аутентификация. Поэтому ей присвоили средний уровень опасности. Но на практике всё не так безобидно. Если сайт поддерживает регистрацию, подписки или личные кабинеты, то даже пользователь с базовым доступом потенциально может добраться до конфиденциальных данных.

Главная опасность в том, что через эту брешь можно читать произвольные файлы сервера и добавлять их в экспортный архив. Под ударом оказывается, например, файл wp-config.php — один из самых важных для WordPress. В нём хранятся учётные данные базы данных, криптографические ключи, а это уже вполне может открыть дорогу к краже данных и даже к полному захвату сайта.

В AJAX-действиях экспорта у плагина не хватало проверок прав доступа. Иными словами, функция, которая должна была быть доступна далеко не всем, в уязвимых версиях могла вызываться любым пользователем. Дополнительной защиты nonce здесь оказалось недостаточно, потому что получить его может и обычный вошедший в систему юзер.

Патч вышел 24 марта вместе с версией Smart Slider 3 3.5.1.34. Но есть нюанс: несмотря на выход обновления, проблема всё ещё остаётся массовой. По статистике WordPress.org, за последнюю неделю плагин скачали более 303 тысяч раз, однако исследователи полагают, что как минимум 500 тысяч сайтов до сих пор работают на уязвимых версиях.

На момент публикации данных об активной эксплуатации этой уязвимости ещё не было. Но в таких случаях окно спокойствия обычно бывает недолгим: как только информация о баге становится публичной, злоумышленники начинают быстро проверять, какие сайты не успели обновиться.

Так что владельцам сайтов на WordPress, использующим Smart Slider 3, тянуть тут явно не стоит. Если плагин ещё не обновлён до версии 3.5.1.34, лучше сделать это как можно быстрее.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!