Apple zahlt $28.000 Prämie
Ein Versehen im März: Hacker löscht alle iCloud-Kurzbefehle weltweit
Der Entwickler Frans Rosén hat einen spannenden Blogeintrag über seine Versuche veröffentlicht, im zurückliegenden Frühjahr gutes Geld mit Apples Security Bounty Programm zu verdienen.
Hier vergütet Apple Entwickler, die Schwachstellen in Diensten und Anwendungen des Unternehmens melden, bevor diese auf dem Schwarzmarkt zum Verkauf angeboten werden. Wie viele andere Unternehmen belohnt Apple auf diese Weise ehrliche Hacker, die auf Lücken im System hinweisen und verhindert so im besten Fall, dass diese lange Zeit unentdeckt bleiben und durch Akteure mit zwielichtigen Motiven ausgenutzt werden.
I found some permission issues when hacking Apple CloudKit. I wrote about three of them @detectify labs, one where I accidentally deleted all shared Apple Shortcuts.https://t.co/bwNOLJIeIo pic.twitter.com/0YnX7T8KrW
— Frans Rosén (@fransrosen) September 13, 2021
Alle öffentlichen Links beim Testen gelöscht
Ein bewährtes Konzept, das allerdings auch in die Hose gehen kann, wie der Erfahrungsbericht von Frans Rosén eindrucksvoll demonstriert. So berichtet der Hacker in einer langen, detailliert technischen Abhandlung über seine Versuche Lücken in Apples Cloud-Speicher-Infrastruktur CloudKit ausfindig zu machen.
Unter anderem hat sich Rosén dabei auch mit den öffentlichen Links beschäftigt, die Apple immer dann generiert, wenn selbst erstellte Kurzbefehle über iCloud mit interessierten Freunden und anderen Nutzern im Web geteilt werden sollen.
Ende März kam es im Zuge der Untersuchungen von Rosén dann zu einem Versehen, dass sich auf alle iPhone-Nutzer weltweit auswirken sollte. Während der Entwickler dabei war Endpunkte der Apple-Schnittstellen zu prüfen, um seine Berechtigungen hier nach und nach zu eskalieren, löschte dieser aus Versehen die gesamte Datenbank aller bis dahin generierten Kurzbefehl-Links.
Plötzlich liefen Verlinkungen von Kurzbefehl-Webseiten genau so wie unter Freunden geteilte Verweise auf private iCloud-Kurzbefehle ins Leere.
Apple zahlte $28.000 Prämie
Rosén kontaktierte Apple daraufhin umgehend, entschuldigte sich für seinen destruktiven Eingriff und beschrieb die Schritte, die zum plötzlichen Verschwinden der Kurzbefehl-Links führten.
Is Shortcuts having a problem? pic.twitter.com/CQ9NGQeQvc
— Mike Beasley (@MikeBeas) March 23, 2021
Rückblickend benötigte Apple dann einen knappen Monat, um die gelöschten Kurzbefehle-Links wiederherzustellen und diese mit all jenen Links zu kombinieren, die in den Tagen nach Roséns Eingriff neu erstellt wurden.
Rosén wurden für den Hinweis auf die Schwachstelle 28.000 US-Dollar ausgezahlt. Gleichzeitig übermittelte Apple dem Hacker die Bitte, in zukünftigen Systemanalysen doch bitte auf Handlung zu verzichten, die das Live-System in Mitleidenschaft ziehen könnte.
Echt geile Story, musste echt lachen!
Sorry, ich hab das Internet gelöscht…
Das Internet setzt sich sowieso nicht durch.
Klar nicht… is ja auch Neuland…
Schon billig abgespeist :D mit der Lücke hätte man doch bestimmt auch schön schadcode in die Systeme schleusen können. Da wäre doch bei manch anderem mehr bei rum gekommen. Aber cool dass er es gemeldet hat und wenigstens etwas bekommen hat
Falsche Annahme
Sehr schöne Geschichte!
Ich finde 100.000 wären angemessen gewesen, naja, da ist Apple echt geizig.
Vielleicht hätte er die 100k bekommen, wenn er nicht versehentlich alles gelöscht hätte xD
Die 100k mussten aber bestimmt in die Mitarbeiter investiert werden, um die Links wiederherzustellen ^^
Das doch sicher wieder eine one men Show.
Bitte, in zukünftigen Systemanalysen doch bitte auf Handlung zu verzichten, die das Live-System in Mitleidenschaft ziehen könnte.
XD XD
Dann wissen die kriminellen Hacker ja jetzt, wo sie sich austoben können.
In den Live-Systemen. :-D
Bzw 2 tipper
Tja da hat Apple alle vorher vorhanden Möglichkeiten Shortcuts zu teilen oder zu exportieren zerstört und zwingt nun jeden in die Cloud. Dabei wird jeder Shortcut, der teilende Benutzer und jeder Benutzer der sich den Shoprtcut lädt personenbzogen getracked (Siehe Datenschutzbestimmungen → Kurzbefehle). Hier ging das gut aus, aber das wird in Zukunft noch ganz andere Folgen haben… Hauptsache alles schön in die Cloud zwingen.
*getrackt
Ja, es ist eine Dummheit von Apple die Kunden ohne not mehr und mehr in die Cloud zu zwingen.
Die Frage die sich mir stellt, hätte er tiefer ins System eingreifen können?
Wenn er eine Backend-Datenbank löschen konnte, war er schon ziemlich tief drin, meine ich…
interessanter fänd ich die Info ob er auch hätte Änderungen an den Daten hätte vornehmen können oder ob er nur die gesamte Datenbank löschen konnte. Durch einzelne Änderungen hätte das einen grösseren Schaden als nur den Aufwand zur Wiederherstellung, zum Beispiel wenn er auf einen ähnlichen Shortcut verlinkt hätte, der aber mittendrin vielleicht die Zwischenablage oder ähnliches abgreift und versendet
Haha… gut geschrieben :D…