iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 655 Artikel

Apple zahlt $28.000 Prämie

Ein Versehen im März: Hacker löscht alle iCloud-Kurzbefehle weltweit

Artikel auf Mastodon teilen.
20 Kommentare 20

Der Entwickler Frans Rosén hat einen spannenden Blogeintrag über seine Versuche veröffentlicht, im zurückliegenden Frühjahr gutes Geld mit Apples Security Bounty Programm zu verdienen.

Hier vergütet Apple Entwickler, die Schwachstellen in Diensten und Anwendungen des Unternehmens melden, bevor diese auf dem Schwarzmarkt zum Verkauf angeboten werden. Wie viele andere Unternehmen belohnt Apple auf diese Weise ehrliche Hacker, die auf Lücken im System hinweisen und verhindert so im besten Fall, dass diese lange Zeit unentdeckt bleiben und durch Akteure mit zwielichtigen Motiven ausgenutzt werden.

Alle öffentlichen Links beim Testen gelöscht

Ein bewährtes Konzept, das allerdings auch in die Hose gehen kann, wie der Erfahrungsbericht von Frans Rosén eindrucksvoll demonstriert. So berichtet der Hacker in einer langen, detailliert technischen Abhandlung über seine Versuche Lücken in Apples Cloud-Speicher-Infrastruktur CloudKit ausfindig zu machen.

Unter anderem hat sich Rosén dabei auch mit den öffentlichen Links beschäftigt, die Apple immer dann generiert, wenn selbst erstellte Kurzbefehle über iCloud mit interessierten Freunden und anderen Nutzern im Web geteilt werden sollen.

Ende März kam es im Zuge der Untersuchungen von Rosén dann zu einem Versehen, dass sich auf alle iPhone-Nutzer weltweit auswirken sollte. Während der Entwickler dabei war Endpunkte der Apple-Schnittstellen zu prüfen, um seine Berechtigungen hier nach und nach zu eskalieren, löschte dieser aus Versehen die gesamte Datenbank aller bis dahin generierten Kurzbefehl-Links.Kurzbefehl Links

Plötzlich liefen Verlinkungen von Kurzbefehl-Webseiten genau so wie unter Freunden geteilte Verweise auf private iCloud-Kurzbefehle ins Leere.

Apple zahlte $28.000 Prämie

Rosén kontaktierte Apple daraufhin umgehend, entschuldigte sich für seinen destruktiven Eingriff und beschrieb die Schritte, die zum plötzlichen Verschwinden der Kurzbefehl-Links führten.

Rückblickend benötigte Apple dann einen knappen Monat, um die gelöschten Kurzbefehle-Links wiederherzustellen und diese mit all jenen Links zu kombinieren, die in den Tagen nach Roséns Eingriff neu erstellt wurden.

Rosén wurden für den Hinweis auf die Schwachstelle 28.000 US-Dollar ausgezahlt. Gleichzeitig übermittelte Apple dem Hacker die Bitte, in zukünftigen Systemanalysen doch bitte auf Handlung zu verzichten, die das Live-System in Mitleidenschaft ziehen könnte.

14. Sep 2021 um 16:03 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    20 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • marius müller westerwelle

    Schon billig abgespeist :D mit der Lücke hätte man doch bestimmt auch schön schadcode in die Systeme schleusen können. Da wäre doch bei manch anderem mehr bei rum gekommen. Aber cool dass er es gemeldet hat und wenigstens etwas bekommen hat

  • Sehr schöne Geschichte!

    Ich finde 100.000 wären angemessen gewesen, naja, da ist Apple echt geizig.

  • Bitte, in zukünftigen Systemanalysen doch bitte auf Handlung zu verzichten, die das Live-System in Mitleidenschaft ziehen könnte.

    XD XD

  • Tja da hat Apple alle vorher vorhanden Möglichkeiten Shortcuts zu teilen oder zu exportieren zerstört und zwingt nun jeden in die Cloud. Dabei wird jeder Shortcut, der teilende Benutzer und jeder Benutzer der sich den Shoprtcut lädt personenbzogen getracked (Siehe Datenschutzbestimmungen → Kurzbefehle). Hier ging das gut aus, aber das wird in Zukunft noch ganz andere Folgen haben… Hauptsache alles schön in die Cloud zwingen.

  • Die Frage die sich mir stellt, hätte er tiefer ins System eingreifen können?

    • Wenn er eine Backend-Datenbank löschen konnte, war er schon ziemlich tief drin, meine ich…

      • interessanter fänd ich die Info ob er auch hätte Änderungen an den Daten hätte vornehmen können oder ob er nur die gesamte Datenbank löschen konnte. Durch einzelne Änderungen hätte das einen grösseren Schaden als nur den Aufwand zur Wiederherstellung, zum Beispiel wenn er auf einen ähnlichen Shortcut verlinkt hätte, der aber mittendrin vielleicht die Zwischenablage oder ähnliches abgreift und versendet

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38655 Artikel in den vergangenen 6291 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven