Sebuah tim yang terdiri dari lima peneliti keamanan menemukan 55 kerentanan dalam analisis yang mereka lakukan terhadap beberapa layanan online Apple selama tiga bulan, dan 11 di antaranya dinilai sangatlah parah.
Kerentanan (termasuk 29 dengan tingkat keparahan tinggi, 13 dengan tingkat keparahan sedang, dan 2 dengan tingkat keparahan rendah) dapat memungkinkan penyerang untuk “sepenuhnya membahayakan aplikasi pelanggan dan karyawan, meluncurkan worm yang mampu secara otomatis mengambil alih akun iCloud korban, mencuri source code proyek internal Apple, sepenuhnya menyusup ke dalam perangkat lunak gudang kontrol industri yang digunakan oleh Apple, dan ambil alih sesi karyawan Apple yang mempunyai akses ke alat manajemen dan sumber daya sensitif.”
Penemuan kerentanan tersebut dilaporkan ke pihak Apple oleh Sam Curry bersama dengan Brett Buerhaus, Ben Sadeghipour, Samuel Erb, dan Tanner Barnes.
Kerentanan-kerentanan tersebut diperbaiki oleh pihak Apple dalam 1-2 hari kerja, dengan beberapa lainnya diperbaiki dalam waktu singkat 4-6 jam, setelah adanya laporan dari para peneliti.
Sejauh ini, Apple telah memproses sekitar 28 kerentanan dengan pembayaran reward senilai $288.500 sebagai bagian dari program bug bounty-nya.
Salah satu domain Apple yang terkena dampak termasuk situs Apple Distinguished Educators (ade.apple.com) yang mengizinkan bypass otentikasi menggunakan kata sandi default (###INvALID#%!3), sehingga memungkinkan penyerang untuk mengakses konsol administrator dan menjalankan kode arbitrer.
Demikian pula, kesalahan dalam proses pengaturan ulang kata sandi yang terkait dengan aplikasi bernama DELMIA Apriso, aplikasi manajemen gudang, memungkinkan untuk membuat dan memodifikasi pengiriman, informasi inventaris, memvalidasi lencana karyawan, dan bahkan mengambil kendali penuh atas perangkat lunak.
Kerentanan terpisah juga ditemukan di layanan Apple Books for Authors yang digunakan oleh penulis untuk membantu proses mereka menulis dan menerbitkan buku mereka di platform Apple Books. Secara khusus, dengan menggunakan alat unggah file ePub, para peneliti dapat memanipulasi permintaan HTTP dengan tujuan untuk menjalankan perintah arbitrer di server “author.apple.com”.
Baca Juga: “Peneliti Ungkap Kerentanan Dalam Safari Setelah Apple Menunda Perbaikan“
Di antara risiko kritis lainnya yang diungkapkan oleh para peneliti adalah risiko yang berasal dari kerentanan cross-site scripting (XSS) di domain “www.icloud.com”, yang beroperasi hanya dengan mengirimkan email yang dibuat secara khusus kepada target, yang ketika dibuka melalui Apple Mail di browser, memungkinkan penyerang mencuri semua foto dan kontak.
Terlebih lagi, kerentanan XSS ini wormable, artinya dapat dengan mudah menyebar dengan mengirimkan email serupa ke setiap alamat iCloud.com atau Mac.com yang disimpan di kontak korban.
“Ketika kami pertama kali memulai proyek ini, kami tidak tahu bahwa kami akan menghabiskan lebih dari tiga bulan untuk menyelesaikannya,” kata Sam Curry dalam posting blognya. “Ini awalnya dimaksudkan sebagai proyek sampingan yang akan kami kerjakan sesekali, tetapi dengan semua waktu luang ekstra saat pandemi COVID, kami akhirnya menghabiskan beberapa ratus jam untuk itu.”
