Sicherheitsforscher nutzten Apple-Systeme, um iPhones, Macs und Geschenkkarten im Wert von 2,5 Millionen US-Dollar zu erbeuten

Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Wählen Sie Das Betriebssystem Aus Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wählen Sie Ein Projektionsprogramm (Optional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beschreiben Sie Ihr Problem

Eine Antwort Bekommen

Senden Sie Mir Per E -Mail Auf Der Website Zeigen

A Sicherheit Forscher mit einer Erfolgsbilanz im Helfen Apfel Schwachstellen in seiner Software zu identifizieren schien eine bestimmte Sicherheitslücke zu verlockend zu finden.

OPTAD-1

Anstatt es dem Unternehmen aus Cupertino zu melden, nutzte er es angeblich aus, um das Unternehmen um Geschenkkarten und Produkte im Wert von etwa 2,5 Millionen US-Dollar zu betrügen …

Noah Roskin-Frazee, der für ZeroClicks Lab arbeitet, wird von Apple für mehrere CVE-Berichte verantwortlich gemacht wurde von Apple ausdrücklich bedankt für Hilfe bei WLAN-Schwachstellen.

Wir möchten Noah Roskin-Frazee und Prof. J. (ZeroClicks.ai Lab) für ihre Unterstützung danken.

OPTAD-2

Das Ungewöhnliche daran ist, dass die Danksagung zwei Wochen nach seiner Verhaftung erfolgte, weil er Apple angeblich um 2,5 Millionen US-Dollar betrogen hatte.

Berichten zufolge hat Roskin-Frazee eine Schwachstelle in einem Apple-Backend-System namens Toolbox gefunden. Hierbei handelt es sich um ein System, in dem das Unternehmen Bestellungen zurückstellt und in dieser Zeit bearbeiten kann.

404Medien berichtet, dass er einen Eskalationsangriff nutzte, um sich Zugang dazu zu verschaffen, offenbar mit Unterstützung seines Forscherkollegen Keith Latteri.

OPTAD-3

Erstens, so heißt es, hätten sie mithilfe eines Passwort-Reset-Tools Zugriff auf ein Mitarbeiterkonto eines Unternehmens erhalten, das nur als Unternehmen B bezeichnet wird, bei dem es sich jedoch offenbar um ein Drittunternehmen handelt, das Kundensupportdienste für Apple betreibt.

Dieses Konto wurde verwendet, um auf weitere Konten innerhalb desselben Unternehmens zuzugreifen, von denen eines den Zugriff auf dessen VPN-Server ermöglichte. Zu diesem Zeitpunkt konnten sie Berichten zufolge auf das Toolbox-System von Apple zugreifen.

In dem Bericht heißt es, dass sie Bestellungen unter falschen Namen aufgegeben und dann mithilfe von Toolbox die zu zahlenden Beträge auf 0 US-Dollar geändert und den Bestellungen zusätzliche Geräte hinzugefügt haben, „wie Telefone und Laptops“, ohne dass zusätzliche Gebühren anfielen.

OPTAD-4

Bei anderen Bestellungen, deren Wert auf Null geändert wurde, handelte es sich um Geschenkkarten, mit denen dann Einkäufe in Apple Stores getätigt oder für einen hohen Prozentsatz ihres Nennwerts weiterverkauft werden konnten.

Der unerklärlichste Aspekt des Berichts besteht darin, dass für die Produkte zwar falsche Namen und Direktversandadressen verwendet wurden, einer der beiden Angeklagten das System jedoch offenbar zur Verlängerung eines AppleCare-Vertrags nutzte für ihn und seine Familie.

404Medien sagt, dass die Anwälte der beiden Angeklagten nicht auf eine Bitte um Stellungnahme geantwortet hätten.

Foto von Carlos Rabada An Unsplash