Неизвестный хакер продает доступ к внутренним инструментам Apple

Неизвестный хакер продает доступ к внутренним инструментам Apple

Некий хакер утверждает, что у него есть доступ к внутренним инструментам Apple, которые могут раскрыть информацию об учетных записях клиентов корпорации. Соответствующую информацию киберпреступник опубликовал в Twitter.

В своих твитах пользователь под псевдонимом AppleFuck опубликовал несколько фотографий, которые якобы доказывают наличие у него доступа к системе Global Service Exchange (GSX) от Apple. GSX используется сотрудниками компании для обработки запросов пользователей на ремонт их устройств.

Исследователи в области безопасности связались с киберпреступником, попросив его доказать наличие доступа. Эксперты предоставили злоумышленнику действительный серийный номер Apple Watch, через несколько минут хакер показал скриншот, на котором содержалась абсолютно верная информация о модели, серии и типе устройства.

Однако на скриншоте не было никакой другой информации, кроме того, что устройство «лишено гарантии», что не соответствует действительности.

Далее специалисты попросили киберпреступника предоставить информацию об учетной записи владельца этого устройства, однако он отказался.

Позже хакер на ломанном английском сообщил экспертам, что продает доступ к подобной информации где-то 20 людям ежедневно. Злоумышленник утверждает, что использует «частный эксплойт».

Источник, знакомый с системами Apple, считает, что хакер преувеличивает свои возможности, так как веб-адрес предполагаемого внутреннего инструмента Apple был «тестовой версией» GSX и использовался только для разработки.

Пока не до конца понятно, реальны ли утверждения киберпреступника, либо он просто решил поиграть в серьезного хакера.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В первый день Pwn2Own 2019 хакеры взломали Safari, VirtualBox и VMware

В первый день знаменитого соревнования хакеров Pwn2Own 2019, которое проходит в Ванкувере, Канада, специалистам удалось взломать браузер Safari от Apple, а также продукты для виртуализации — Oracle VirtualBox и VMware Workstation. В результате исследователи заработали $240 000.

Общая сумма призовых Pwn2Own этого года составила один миллион долларов. Также можно отметить, что впервые в истории состязания участникам предложили попробовать взломать автомобиль Tesla Model 3. В случае успеха специалисты могут получить до $300 000.

В первый день соревнования Амат Кама и Ричард Зу из команды Fluoroacetate заработали $55 000 за эксплойт для Safari. Суть метода атаки на браузер от Apple заключалась в переполнении буфера, которое приводило к обходу встроенной песочницы.

Интересный момент в случае атаки Safari заключается в том, что исследователи использовали брутфорс для «побега из песочницы».

Те же эксперты получили еще $35 000 за взлом Oracle VirtualBox. Взломать этот продукт удалось лишь со второй попытки. Кама и Зу использовали целочисленное переполнение и «race condition» для повышения привилегий и выполнения произвольного кода.

Эта же пара экспертов успешно взломала виртуальную машину VMware Workstation, что вылилось в возможность выполнения кода в системе-хосте. Общая сумма призовых для исследователей Fluoroacetate составила $160 000.

Еще одни эксперты — команда phoenhex & qwerty — заработали $45 000 за эксплойт для Safari с возможностью повысить привилегии до уровня ядра. Чтобы использовать эту уязвимость, пользователя нужно всего лишь заманить на злонамеренный сайт.

На следующий день хакеры попытаются взломать браузеры Mozilla Firefox и Microsoft Edge. 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru