[ad_1]
یک محقق امنیتی که زمانی به اپل کمک کرد تا آسیبپذیریهای نرمافزار خود را شناسایی کند، ظاهراً یک نقص امنیتی خاص را بسیار وسوسهانگیز یافته است.
او ظاهراً به جای گزارش آن به شرکت کوپرتینویی، از آن برای کلاهبرداری از شرکت با فروش کارت های هدیه و محصولاتی به ارزش حدود 2.5 میلیون دلار به آن سوء استفاده کرد.
Noah Roskin-Frazee که برای آزمایشگاه ZeroClicks کار می کند، توسط اپل برای چندین گزارش CVE اعتبار دارد و به طور خاص توسط اپل برای کمکش در مورد آسیب پذیری های Wi-Fi تشکر کرده است.
مایلیم از Noah Roskin-Frazee و پروفسور J. (آزمایشگاه ZeroClicks.ai) برای کمکشان تشکر کنیم.
آنچه غیرعادی است این است که تشکر دو هفته پس از دستگیری او به اتهام کلاهبرداری 2.5 میلیون دلاری از اپل صورت گرفت.
گزارش شده است که Roskin-Frazee یک آسیب پذیری را در یک سیستم پشتیبان اپل به نام Toolbox کشف کرده است. این سیستمی است که در آن شرکت سفارشات را به حالت تعلیق در می آورد و در این مدت می توان آنها را تغییر داد.
404 رسانه گزارش می دهد که او با کمک ظاهری محقق همکار کیت لاتری، از یک حمله تشدید برای دستیابی به دسترسی استفاده کرد.
ابتدا، میگوید، آنها از یک ابزار بازنشانی رمز عبور برای دسترسی به حساب کارمندی استفاده کردند که متعلق به شرکتی است که فقط به عنوان شرکت B توصیف شده است، اما به نظر میرسد یک شرکت شخص ثالث که مشتری خدمات پشتیبانی اپل است.
این حساب برای دسترسی به حساب های دیگر در همان شرکت استفاده می شد که یکی از آنها دسترسی به سرورهای VPN آن را فراهم می کرد. آن زمان بود که آنها می توانستند به سیستم جعبه ابزار اپل دسترسی داشته باشند.
این گزارش میگوید که آنها سفارشهایی را با نامهای جعلی ارسال کردهاند، سپس از Toolbox برای تغییر پرداختها به 0 دلار و همچنین اضافه کردن دستگاههای اضافی به سفارشها، «مانند تلفن و لپتاپ» استفاده کردهاند، بدون اینکه هزینههای اضافی ایجاد شود.
سایر سفارشهایی که ارزش آنها به صفر کاهش یافت، مربوط به کارتهای هدیه بود که میتوان از آنها برای خرید در فروشگاههای اپل استفاده کرد یا با درصد بالایی از ارزش اسمی آنها دوباره فروخته شد.
غیرقابل توضیح ترین جنبه گزارش این است که حتی با وجود اینکه از نام های جعلی و آدرس های ارسالی برای محصولات استفاده شده است، یکی از دو متهم ظاهراً از این سیستم برای تمدید قرارداد AppleCare استفاده کرده است. برای او و خانواده اش
404 رسانه می گوید وکلای هر دو متهم به درخواست اظهار نظر پاسخ ندادند.
عکس کارلس رابادا در Unsplash
FTC: ما از لینک های وابسته به صورت خودکار و درآمدزا استفاده می کنیم. بیشتر.