Apple agradeció a un investigador de seguridad en las notas del parche del sistema operativo pocos días después de ser acusado de un plan que le permitió robar productos, tarjetas de regalo y servicios de Apple por valor de millones de dólares.
Noah Roskin-Frazee, un investigador de seguridad afiliado a ZeroClicks Lab, ha sido elogiado por Apple por identificar vulnerabilidades de software. Sin embargo, recientemente ha sido objeto de escrutinio por explotar una vulnerabilidad que le permitió robar la friolera de 2,5 millones de dólares en iPhonesMacs y tarjetas de regalo.
De acuerdo a 404Medios, Roskin-Frazee encontró una vulnerabilidad en Toolbox, un sistema backend que Apple utiliza para poner pedidos en espera. Mientras están en espera, los pedidos aún se pueden editar.
Él, junto con el presunto cómplice Keith Latteri, utilizó una herramienta de restablecimiento de contraseña para obtener acceso a una cuenta de empleado de una empresa externa que ayudaba a Apple con la atención al cliente. Una vez que accedieron a las credenciales de los empleados, accedieron a los sistemas de Apple y realizaron pedidos fraudulentos de productos Apple.
La pareja inició el plan en diciembre de 2018 y continuó hasta al menos marzo de 2019.
Los dos crearían y manipularían pedidos, agregarían productos como iPhones y Mac y cambiarían el costo a cero. También pedirían tarjetas de regalo que podrían usarse en las tiendas Apple o revenderse.
Si bien usaron nombres falsos y direcciones de envío directo para los productos físicos, uno extendió AppleCare por dos años para él y su familia.
Quizás una de las cosas más interesantes que surgieron de la historia es que dos semanas después de que arrestaran a Roskin-Frazee, Apple le agradeció públicamente en su sitio web.
Hay un gran negocio en las vulnerabilidades de software, tanto para encontrarlas como para explotarlas.
Laboratorios de amenazas de Jamf recientemente trabajado una prueba de concepto de técnica de manipulación posterior a la explotación que hace que un iPhone se comporte como si estuviera en modo de bloqueo cuando no lo está.
Incluso el Apple Visión Pro no es seguro. Un día antes de su lanzamiento, un investigador de seguridad afirmó haber creado un explotación del núcleo para visiónOSabriendo el camino hacia un potencial jailbreak y creación de malware.