3 ay boyunca Apple’ı hackleyip 330 bin TL kazanmak

5 mühendisin Apple hata ödül programına katılıp kapsamlı şekilde yaptıkları hack çalışmalarının dökümü

→ 32 açık bulundu, toplam $288500 (330 milyon won) ödül alındı

• Apple altyapısı devasa. 17.0.0.0/8 IP aralığının tamamına sahip ve 25000 web sunucusu var.

• 10 bini apple.com ile ilgili, geri kalanı ise 7000 benzersiz alan adı (.apple alanı dahil)

Söz konusu IP aralığı ile apple.com ve icloud alan adları ana hedef alınarak dizin brute forcing yapıldı.

Bunun üzerinden Apple içindeki kimlik doğrulama/yetkilendirme çalışma biçimleri, müşteri/çalışan uygulamaları, entegrasyonlar ve geliştirme araçları ortaya çıkarıldı.

Böylece bulunan açıklardan 12 tanesi listelenip açıklanıyor.

1. Authentication ve Authorization Bypass ile Apple Distinguished Educators Program’ın tamamen ele geçirilmesi

2. Authentication Bypass ile DELMIA Apriso uygulamasının tamamen ele geçirilmesi

3. Solucan gibi yayılabilen Stored Cross-Site Scripting açıkları sayesinde saldırganın değiştirilmiş bir e-posta üzerinden iCloud verilerini çalabilmesi

4. Author’s ePublisher’da Command Injection

5. iCloud’daki Full Response SSRF sayesinde saldırganın Apple kaynak kodunu elde edebilmesi

6. REST hata sızıntısı üzerinden Nova Admin Debug Panel erişimi

7. PhantomJS iTune banner’ları ve kitap başlığı XSS’i üzerinden AWS gizli anahtarları

8. Apple eSign’daki Heap Dump sayesinde saldırganın çeşitli harici çalışan yönetim araçlarını ele geçirebilmesi

9. Java Management API’de XML External Entity işleme üzerinden Blind SSRF

10. GBI Vertica SQL Injection ve açığa çıkmış GSF API

11. Çeşitli IDOR açıkları

12. Çeşitli Blind XSS açıkları

Bu yazının hazırlanması ve yayımlanması için de Apple güvenlik ekibinden izin alınmış. (Bu açıkların tamamı zaten düzeltilmiş durumda.)