| 28 апреля 2014 г. — 12:18 PT
Представьте наше удивление, когда в нашей папке для советов появилось письмо от совершенно незнакомого человека, содержащее личную контактную информацию — включая номера мобильных телефонов — нескольких сотрудников 9to5Mac, а также нескольких высокопоставленных руководителей Apple.
Вчера вечером Apple временно отключила Центр разработчиков для проведения технических работ, но, как это обычно бывает, заметных изменений после его восстановления не наблюдалось. Как оказалось, компания устраняла очень серьезный инцидент безопасности, обнаруженный на выходных, который позволял любому получить доступ к личной контактной информации всех зарегистрированных разработчиков iOS, Mac или Safari; всех сотрудников Apple Retail и корпоративных сотрудников; а также некоторых ключевых партнеров.
Проблема была обнаружена разработчиком Джесси Ярви и доведена до нашего сведения в субботу. Видео эксплойта приведено ниже. Мы позаботились о том, чтобы проблема была сообщена Apple, и довели ее до руководства. Учитывая критический характер проблемы, мы никогда не раскрываем такого рода уязвимости публично, пока они не будут устранены и мы не свяжемся с Apple. По состоянию на вчерашний вечер, дыра была залаtана. Читайте дальше, чтобы узнать полные подробности о том, как произошел взлом и какая именно информация была под угрозой.
Ярви предоставил нам полное видео с демонстрацией того, как он использовал уязвимость в приложении Radar от Apple, внутренней программе, используемой сотрудниками Apple для управления отчетами об ошибках, отправляемыми через трекер ошибок, чтобы получить доступ к полному списку зарегистрированных разработчиков Apple, даже тех, кто участвует в бесплатной программе разработчиков Safari.
Первым шагом в использовании этой уязвимости была загрузка приложения Radar с веб-сайта Apple. Программа требует входа в Apple ID для работы, и этот ID должен быть в списке сотрудников, имеющих доступ к приложению Radar. Ввод недействительного логина приводит к выходу из программы, но не блокирует доступ к другим инструментам, содержащимся в программном обеспечении, включая функцию поиска пользователей.
Открыв поиск по каталогу и введя любую информацию, такую как имя, номер телефона или адрес электронной почты, приложение немедленно выдаст список совпадений — аутентификация не требуется.
Как мы уже говорили, эта проблема теперь устранена Apple. Компания еще не выпустила публичное заявление об ошибке, но подтвердила Ярви, что она была решена. Ожидается, что Apple вскоре выпустит заявление по этому вопросу, и мы обновим информацию, как только получим ее.
Обновление: iMore отмечает, что Apple теперь удалила приложение Radar по предыдущей ссылке для загрузки из общего доступа.
[youtube https://www.youtube.com/watch?v=2e0Z5tQfhKM]
Спасибо Дому Эспозито (Youtube Channel) за удаление деталей о Тимоти Куке