iphone-ticker.de — Alles zum iPhone. Seit 2007. 35 420 Artikel

Apple zahlt $28.000 Prämie

Ein Versehen im März: Hacker löscht alle iCloud-Kurzbefehle weltweit

Artikel auf Mastodon teilen.
20 Kommentare 20

Der Entwickler Frans Rosén hat einen spannenden Blogeintrag über seine Versuche veröffentlicht, im zurückliegenden Frühjahr gutes Geld mit Apples Security Bounty Programm zu verdienen.

Hier vergütet Apple Entwickler, die Schwachstellen in Diensten und Anwendungen des Unternehmens melden, bevor diese auf dem Schwarzmarkt zum Verkauf angeboten werden. Wie viele andere Unternehmen belohnt Apple auf diese Weise ehrliche Hacker, die auf Lücken im System hinweisen und verhindert so im besten Fall, dass diese lange Zeit unentdeckt bleiben und durch Akteure mit zwielichtigen Motiven ausgenutzt werden.

Alle öffentlichen Links beim Testen gelöscht

Ein bewährtes Konzept, das allerdings auch in die Hose gehen kann, wie der Erfahrungsbericht von Frans Rosén eindrucksvoll demonstriert. So berichtet der Hacker in einer langen, detailliert technischen Abhandlung über seine Versuche Lücken in Apples Cloud-Speicher-Infrastruktur CloudKit ausfindig zu machen.

Unter anderem hat sich Rosén dabei auch mit den öffentlichen Links beschäftigt, die Apple immer dann generiert, wenn selbst erstellte Kurzbefehle über iCloud mit interessierten Freunden und anderen Nutzern im Web geteilt werden sollen.

Ende März kam es im Zuge der Untersuchungen von Rosén dann zu einem Versehen, dass sich auf alle iPhone-Nutzer weltweit auswirken sollte. Während der Entwickler dabei war Endpunkte der Apple-Schnittstellen zu prüfen, um seine Berechtigungen hier nach und nach zu eskalieren, löschte dieser aus Versehen die gesamte Datenbank aller bis dahin generierten Kurzbefehl-Links.Kurzbefehl Links

Plötzlich liefen Verlinkungen von Kurzbefehl-Webseiten genau so wie unter Freunden geteilte Verweise auf private iCloud-Kurzbefehle ins Leere.

Apple zahlte $28.000 Prämie

Rosén kontaktierte Apple daraufhin umgehend, entschuldigte sich für seinen destruktiven Eingriff und beschrieb die Schritte, die zum plötzlichen Verschwinden der Kurzbefehl-Links führten.

Rückblickend benötigte Apple dann einen knappen Monat, um die gelöschten Kurzbefehle-Links wiederherzustellen und diese mit all jenen Links zu kombinieren, die in den Tagen nach Roséns Eingriff neu erstellt wurden.

Rosén wurden für den Hinweis auf die Schwachstelle 28.000 US-Dollar ausgezahlt. Gleichzeitig übermittelte Apple dem Hacker die Bitte, in zukünftigen Systemanalysen doch bitte auf Handlung zu verzichten, die das Live-System in Mitleidenschaft ziehen könnte.

14. Sep 2021 um 16:03 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    20 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    20 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 35420 Artikel in den vergangenen 5748 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2023 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven