IT之家 2 月 8 日消息,一位安全研究專家利用蘋果系統(tǒng)漏洞,騙取了價值 250 萬美元的 iPhone、Mac 和禮品卡。而在他被捕 2 周后,蘋果在更新日志中特別感謝他反饋的漏洞。
網(wǎng)絡(luò)安全專家 Noah Roskin-Frazee 隸屬于 ZeroClicks 實(shí)驗(yàn)室,此前向蘋果提交了多份 CVE 漏洞報(bào)告而多次受到蘋果點(diǎn)名表彰。
Roskin-Frazee 在名為 Toolbox 的蘋果后臺系統(tǒng)中發(fā)現(xiàn)了一個漏洞。Toolbox 是一個公司擱置訂單的系統(tǒng),在此期間可以對訂單進(jìn)行編輯。
Roskin-Frazee 在另一位研究人員基思?拉特里(Keith Latteri)的協(xié)助下,先侵入了 "B 公司" 使用的密碼重置工具,該公司與蘋果公司簽訂了客戶支持合同。
他成功入侵該公司的服務(wù)器后,通過將總金額降為 0 美元或在現(xiàn)有訂單上添加免費(fèi)項(xiàng)目的方式,下了十幾個欺詐性訂單。
他免費(fèi)獲得了電腦、手機(jī)和其他硬件,總價值約 10 萬美元,但其中大部分是禮品卡。
Roskin-Frazee 被指控盜竊了 250 萬美元(IT之家備注:當(dāng)前約 1800 萬元人民幣)的蘋果禮品卡,檢察官稱,大部分被盜物品已在第三方網(wǎng)站上轉(zhuǎn)售。
不過,似乎沒有人告訴蘋果公司的安全團(tuán)隊(duì),在 Roskin-Frazee 被捕兩周后的 1 月 22 日,蘋果公司在安全公告中對他表示感謝。IT之家附上截圖如下:
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。