Appleはバグ報奨金プログラムを実施しており、昨年開始した公開プログラムも含まれています。これは、iOSからmacOSに至るまで、Appleのソフトウェアの脆弱性を発見した個人やグループに報奨金を支払うことを意味します。
少人数のハッカーグループが3ヶ月間で5万ドル以上の報酬を獲得しました。このグループのメンバーは、サム・カリー氏、ベン・サデギプール氏、サミュエル・エルブ氏、タナー・バーンズ氏、ブレット・ビューアハウス氏です。Appleのセキュリティチームの許可を得て、カリー氏は発見された脆弱性の詳細を記したブログ記事を公開しました。この中には、これまでに発見された55件の脆弱性も含まれています。
まず第一に、カリー氏がブログ記事で指摘しているように、ハッカーが発見した問題の大部分は、今週の時点で Apple によって修正されている。
調査中、Apple のインフラストラクチャの中核部分にさまざまな脆弱性が見つかりました。これらの脆弱性により、攻撃者は顧客と従業員の両方のアプリケーションを完全に侵害し、被害者の iCloud アカウントを自動的に乗っ取るワームを起動し、Apple の社内プロジェクトのソースコードを取得し、Apple が使用する産業用制御倉庫ソフトウェアを完全に侵害し、管理ツールや機密リソースにアクセスする機能を使用して Apple 従業員のセッションを乗っ取ることができました。
発見された脆弱性は合計55件で、深刻度は「重大」が11件、「高」が29件、「中」が13件、「低」が2件でした。これらの深刻度は、要約を目的として当社によって評価されたものであり、CVSSとビジネス関連の影響に関する当社の理解に基づいています。
2020年10月6日現在、これらの発見事項の大部分は修正され、クレジットが付与されています。通常、1~2営業日以内に修正されました(中には4~6時間で修正されたものもあります)。
獲得した金額に関して言えば、決して悪くない金額だ。ハッカーグループは3ヶ月間に4回の報酬を受け、合計5万1500ドルを獲得した。カリー氏によると、グループはiCloudユーザーの氏名を特定したことで5000ドル、IDORの脆弱性を発見したことで6000ドルを獲得した。グループが受け取った最大の報酬は、顧客データを含むシステムメモリリークを発見したことで3万4000ドルだった。
昨年、Appleはバグ報奨金プログラムの支払額を増額し、macOS版も展開しました。当時、脆弱性の深刻度に応じて、ハッカーは最大100万ドルの報奨金を受け取れるとされていました。
発見された脆弱性の詳細な内訳は Curry 氏のブログで確認できます。
