マルコム・オーウェン
· 2分で読めます
インドのセキュリティ研究者が、iCloudにおけるクロスサイトスクリプティング(XSS)の脆弱性を発見し、Appleのバグ報奨金プログラムを通じて5,000ドルの賞金を獲得しました。問題の発見後、AppleはiCloud.comでこの問題にパッチを当てました。
Vishal Bharad氏が発見した脆弱性は、AppleのiWorkバンドルに含まれるiCloudウェブサイト上のPagesまたはKeynotesでファイルを作成することに関係していました。ファイルは、意図されたXSSペイロードを含む特定の名前で作成されていました。
研究者はブログ記事で、攻撃者はファイルを他のユーザーに送信したり、共同作業を行ったりした後、文書に変更を加えて保存する必要があると指摘している。設定で「すべてのバージョンを参照」を変更すると、他のユーザーのデバイス上でXSSペイロードが実行される。
このバグはAppleにかなり以前から知られており、Bahrad氏は2020年8月7日に同社に報告した。Appleは報告内容と再現手順、そしてバグを実証する動画を検討した後、10月9日にBharad氏に5,000ドルを支払った。Bharad氏は2月14日にこの欠陥を公表した。
研究者は、このバグがiCloudウェブサイトの少なくとも1つの問題点を見つけ出そうとする調査の一環として発見されたことを認めた。CSRF、IDOR、ビジネスロジックのバグといった分野で問題を発見できなかった後、Bharad氏は自身の弱点であるXSSバグの発見に移った。
その後、彼らは「あらゆる場所にペイロードを挿入」し、これまで発見されていなかったペイロードを表示して起動する方法を見つけようとし、最終的にそれを達成することに成功した。
木曜日、Appleはソフトウェアおよびハードウェア製品に組み込まれているセキュリティメカニズムに関する詳細なガイドを公開しました。これには、M1チップ、iMessageのサンドボックス化メカニズム「BlastDoor」、そしてバグ報奨金プログラムに関連するセキュリティ機能のアップデートが含まれていました。
Appleは2019年、バグ報奨金プログラムをすべての研究者に開放し、同時に、公開されたバグに対する報奨金の上限を限定的に100万ドルに引き上げました。この高額な報奨金は、多くの研究者をAppleのセキュリティに惹きつけています。
2020年5月に公開された「Sign In with Apple」の脆弱性の発見者は10万ドルを獲得し、研究者チームは3か月かけてAppleをハッキングし、10月に5万ドル以上を獲得した。
2月10日、セキュリティ研究者がApple、Microsoft、PayPalを含む複数の大手企業の内部システムをハッキングしていたことが明らかになりました。彼らはバグ発見報奨金として13万ドル以上を獲得し、Appleは3万ドルを拠出しました。
