55 Apple vulnerabilities risked iCloud account takeover, data theft

 Por SudaisAsif em 09/10/2020 no site HackHead

Bug bounty programs happen to be effective as they offer independent ethical hackers the motivation to help companies find vulnerabilities.

A recent case is a testimony to this where a team of cyber security researchers has succeeded in finding a total of 55 vulnerabilities in Apple’s networks over a course of 3 months. The names and Twitter handle of researchers participated in Apple’s bug bounty program are:

• Sam Curry (@samwcyo)
• Brett Buerhaus (@bbuerhaus)
• Ben Sadeghipour (@nahamsec)
• Samuel Erb (@erbbysam)
• Tanner Barnes (@StaticFlow)

Meanwhile, the 55 vulnerabilities were classified as the following:

• 11 as critical due to the extreme threat they posed of user data theft and access to Apple’s main network
• 29 as high severity
• 13 as medium severity
• 2 as low severity 

All of these distributively include remote code execution, memory leaks, SQL injections & cross-site scripting (XSS) attacks, the details of which are available on the researchers’ official blog post.

Elaborating a bit on the consequences of the vulnerabilities, there were many. First, the iCloud accounts of users could be accessed using a worm leading to a serious privacy breach and potential phishing attacks.

Secondly, not only could Apple’s proprietary source code of its projects be exposed but the user sessions of Apple employees could also be taken over resulting in the attacker’s control “management tools and sensitive resources”.

Thirdly, Apple uses industrial control warehouse software which would also have been compromised. The following list comprises of first 10 vulnerabilities reported by the researchers:

• Remote Code Execution via Authorization and Authentication Bypass
• Authentication Bypass via Misconfigured Permissions allows Global Administrator Access
• Command Injection via Unsanitized Filename Argument
• Remote Code Execution via Leaked Secret and Exposed Administrator Tool
• Memory Leak leads to Employee and User Account Compromise allowing access to various internal applications
• Vertica SQL Injection via Unsanitized Input Parameter
• Wormable Stored XSS allows Attacker to Fully Compromise Victim iCloud Account
• Wormable Stored XSS allows Attacker to Fully Compromise Victim iCloud Account
• Full Response SSRF allows Attacker to Read Internal Source Code and Access Protected Resources
• Blind XSS allows the Attacker to Access Internal Support Portal for Customer and Employee Issue Tracking.

The full list of vulnerabilities and technical details are available on the researchers’ blog post.

Currently, the security researchers have been paid a total of $288,500 but more payments are expected to come in which may go up to $500,000.

On the other hand, all the disclosed vulnerabilities have been fully fixed by 6th October which can put users at ease as their data is no more at risk. Nevertheless, credit also goes to Apple since they responded to every vulnerability report in a time span of 4-48 hours which shows a sense of responsibility by the tech giant.

For the future, other companies should learn from this incident and implement vulnerability disclosure and bug bounty programs along with dedicated cybersecurity professionals to handling such reports. This can go a long way in mitigating the effects of such an incident.

New cryptocurrency malware SpeakUp hits Linux & Mac devices

Por Waqas em 04/02/2019 no site HackHead

The IT security researchers at Check Point have identified a new malware called SpeakUp targeting Linux and macOS – The new findings prove that there has been a surge in malware attacks against Linux and Apple devices.

SpeakUp is a new backdoor Trojan that is being distributed by cybercriminals through a malicious new campaign designed to target servers running six different Linux versions and macOS systems. The malware manages to target multiple previously identified security flaws and can evade antivirus programseffectively.

Check Point researchers noted that the hackers are utilizing the exploit for ThinkPHP (CVE-2018-20062) remote code execution flaw for infecting Linux and macOS servers. Hackers often prefer backdoor Trojans because this malware can allow them easy access to compromised devices and also let them control the infected devices by establishing a connection with a C&C server. Usually, such malware help attackers in running campaigns to gain full control of the machine.

While the exact identity of the threat actor behind this new attack is still unconfirmed, Check Point Researchers were able to correlate SpeakUp’s author with malware developer under the name of Zettabit. Although SpeakUp is implemented differently, it has a lot in common with Zettabit’s craftsmanship, said researchers in their blog post.

According to researchers, SpeakUp exploits ThinkPHP, which is a framework that almost 90% of the leading 1M domains in America use. Furthermore, it can infect Mac machines without getting detected, which is a phenomenal capability. At the moment, SpeakUp is mainly targeting devices in East Asia, Latin America, and mostly AWS hosted devices are its prime victims. Approx. 70,000 servers across the globe are targeted in this campaign.

Check Point researchers, who identified the campaign around three weeks back, assessed that exploiting the ThinkPHP vulnerability is only the initial attack vector that helps the Trojan infect the device. Later, the hackers modify the local cron utility to obtain boot persistence, execute files that are downloaded from a remote C&C server, run shell commands, and uninstall or upgrade itself.

Moreover, SpeakUp has a built-in Python script that lets the malware to spread alongside the local network. The Python script scans local networks to locate open ports as well as brute-forces systems that it identifies in the nearest vicinity. This is performed using a list of pre-defined login credentials.

It also uses seven different exploits including remote command execution and Oracle WebLogic Server component of Oracle Fusion Middleware, etc., to control unpatched systems. After infecting new machines the malware deploys itself on the systems.

Apparently, the attackers are using SpeakUp to deploy Monero cryptocurrency miners on infected devices and so far, the group has managed to make 107 Monero coins (around $4,500). Although currently, the attackers are exploiting the Chinese PHP framework it is also possible that they switch to other exploits to further expand the scope of their backdoor and the range of targets. However, they haven’t yet targeted anything other than ThinkPHP framework. 

Mais de 30 faculdades comunitárias dos EUA incluirão a Swift nas suas grades a partir do próximo ano letivo

Por Bruno Santana 

Em 25/08/2017 no site MacMagazine

iMasters

Há alguns meses, dentro da iniciativa “Todo Mundo Pode Programar” (“Everyone Can Code”), a Apple lançou um curso acadêmico de um ano denominado “Desenvolvimento de Apps com Swift” (“App Development with Swift”), projetado por educadores e engenheiros da Maçã com o objetivo de oferecer o primeiro contato de estudantes adeptos da área de tecnologia com a linguagem de programação. Junto ao lançamento, a empresa anunciou, naquela ocasião, uma parceria com seis faculdades comunitárias dos Estados Unidos que ofereceriam o curso em suas grades curriculares.

Bom, aparentemente a coisa está se expandindo muito rapidamente: a Apple anunciou hoje no seu site que mais de 30(!) novas faculdades comunitárias dos EUA adotarão o currículo a partir do próximo ano letivo, a iniciar-se em setembro. Dentre elas, uma das maiores instituições americanas de ensino técnico, a Austin Community College District (ACC), que ensinará o curso para mais de 74.000 estudantes.

Ver imagem no Twitter

Ver imagem no Twitter

 Seguir

Tim Cook ✔ @tim_cook

Everyone deserves equal access to a great education. Proud to stand w/@accdistrict to launch our App Development with Swift curriculum.

16:42 - 25 de ago de 2017

 103 103 Respostas   384 384 Retweets   1.954 1.954 favoritos

Informações e privacidade no Twitter Ads

O prefeito de Austin, Steve Adler, deu uma breve declaração sobre a novidade à própria Apple:

Nós estamos animados em ver a Apple juntar-se à nossa missão de fazer Austin mais acessível para todos os que já moram na cidade. A Apple será uma força multiplicadora neste esforço contínuo da comunidade para tirar 10.000 pessoas da pobreza e colocá-las em bons empregos ao longo dos próximos cinco anos.

A fala do prefeito tem a ver, naturalmente, com o próprio caráter das faculdades comunitárias — um tipo de instituição de ensino que se assemelharia aos nossos cursos técnicos e recebe grandes incentivos federais, oferecendo, em alguns casos, cursos totalmente gratuitos e voltados às camadas menos favorecidas da população.

Tim Cook também falou sobre o novo passo da iniciativa:

Ver imagem no Twitter

 Seguir

Tim Cook 

✔@tim_cook

Everyone deserves equal access to a great education. Proud to stand w/@accdistrict to launch our App Development with Swift curriculum.

16:42 - 25 de ago de 2017

•  103103 Respostas
 
•  384384 Retweets
 
•  1.9541.954 favoritos

Informações e privacidade no Twitter Ads

Nós vimos em primeira mão como o ecossistema da Apple transformou a economia global, criando novas indústrias inteiras e apoiando milhões de empregos. Acreditamos fervorosamente que a mesma oportunidade deveria ser dada a todos, e as faculdades comunitárias têm um alcance poderoso nas comunidades onde a educação torna-se o grande equalizador.

Além da instituição texana, outras faculdades comunitárias juntando-se ao programa da Apple incluem a Northeast Mississippi Community College, a Northwest Kansas Technical College e a Alabama Community College System.

O negócio é excelente para a comunidade e, claro, para a Apple — afinal, quanto mais profissionais ganham familiaridade desde cedo com o universo Swift, maior a chance de eles focarem no ecossistema da Maçã, comprarem seus produtos e produzirem belíssimas criações para iOS, macOS e companhia.

O currículo, como bem se sabe, também está disponível na iBooks Store para aprendizes que tenham a tenacidade do autodidatismo ou para professores que queiram introduzir os conceitos do Swift em suas turmas.

Especial: 6 novos recursos do iOS 11 que você precisa conhecer

Por Macworld / EUA no site IDGnow

Em 05/06/201.

A Siri no iOS 11 aprendeu a soar como um ser humano de verdade (ou quase isso) – e isso é apenas o começo quando falamos do novo sistema da Apple para iPhones e iPads.

O CEO Tim Cook e seus companheiros de empresa deram uma geral do novo iOS durante a abertura da conferência para desenvolvedores WWDC 2017 nesta segunda-feira, 5/6.

As novidades incluem upgrades para a Siri, App Store e Central de Controle redesenhados, e um novíssimo recurso do Apple Pay que permite enviar e receber dinheiro dos seus contatos pelo iMessage.

Confira abaixo os melhores recursos e atualizações do iOS 11 mostrados durante o evento de hoje, 5/6.

Nova voz da Siri

A primeira coisa que você vai notar sobre a Siri no iOS 11 é que a voz da assistente soa mais natural. E não é só isso: a Siri também está de visual novo, já que a Apple deu uma nova interface visual para a assistente que mostra diversos resultados para os seus pedidos, assim como perguntas subsequentes.  

Além disso, a assistente da Apple agora pode traduzir suas frases, do inglês para o chinês, francês, alemão, italiano e espanhol. O recurso ainda está em modo beta e terá novos idiomas nos próximos meses – esperamos que o português brasileiro entre logo na lista.

A Siri também ficou mais preditiva nos diferentes aplicativos do iOS. Por exemplo, se você buscar por Islândia no navegador Safari, a assistente irá mostrar notícias e artigos relacionados ao país nórdico no app Notícias e trazer sugestões QuickType em islandês. Ou, se você receber uma mensagem pedindo por dinheiro, a Siri irá sugerir a integração do Apple Play com o iMessage com a quantia exata que foi pedida.  

Melhorias do Messages

No iOS 10, a Apple introduziu os apps iMessage, mas a experiência de descobrir e usá-los era um pouco atrapalhada. Agora a empresa redesenhou o iMessage App Drawer no iOS 11 para que fique mais fácil encontrar novos apps, navegar entre apps, e acessar seus apps mais usados. 

Outra novidade do Message é a sincronização com o iCloud, para que todas as suas conversas sejam transferidas automaticamente sempre que você acessar um novo aparelho iOS. Mesmo estando na nuvem, as suas mensagens continuarão protegidas com criptografia de ponta a ponta, segundo a Apple.

Pague seus amigos com o Apple Pay

Você pode usar o Apple Pay em muitos lugares dos EUA (a Apple diz que 50% dos varejistas dos EUA suportarão a plataforma até o fim do ano), lojas online via Safari, e em alguns apps para iPhone. Com o iOS 11, você poderá usar o Apple Play para enviar ou receber dinheiro dos seus contatos pelo iMessage. Todo o dinheiro recebido desta forma será reunido no seu app Wallet na forma de um cartão Dinheiro (Cash). Você poderá usar esses valores para realizar outras transações com o Apple Play ou transferi-lo para a sua conta no banco. Essas transações poderão ser feitas pelo iOS 11 e pelo watchOS 4.

Mapas em locais fechados

A Apple continua a melhoria o aplicativo nativo de Mapas no iOS 11. Pela primeira vez, você poderá usar o software para navegar em espaços fechados. Com isso, você poderá ter mapas detalhados de determinados shoppings e aeroportos, incluindo as lojas de cada andar. 

Além disso, ao usar o Maps para dirigir, você agora verá um alerta com o limite de velocidade, assim como um guia de faixas para que você não precise mudar de pista de última hora ou arrisque perder a sua saída.

Outro recurso relacionado a dirigir do iOS 11 apresentado no WWDC é o modo Não Perturbar Enquanto Dirijo (Do Not Disturb While Driving). O seu iPhone usará Bluetooth (caso conectado com o CarPlay ou qualquer outro sistema de Bluetooth dentro do veículo) ou sensores de movimento para saber se você está dirigindo, e irá evitar automaticamente que sejam exibidas na tela notificações que possam te distrair.  

É possível desabilitar esse modo ou configurar uma resposta automática para informar as pessoas que está no carro e irá retornar para elas assim que chegar ao seu destino. 

Realidade Aumentada

O Tim Cook passou os últimos meses falando sobre como está animado com a Realidade Aumentada (AR). Por isso, não é nenhuma surpresa que a Apple usou a keynote da WWDC 2017 para mostrar o que vem preparando na área. Juntamente com o iOS 11, a empresa revelou o ARKit, uma nova plataforma para desenvolvedores para a criação de apps iOS que usam Realidade Aumentada. Os apps criados com o ARKit conseguirão usar visão computacional para identificar superfícies e adicionar objetos 3D. Esses objetos criam sombras dinâmicas que são renderizadas em tempo real.

Recursos de produtividade do iPad

A Apple também revelou novos recursos do iOS 11 criados exclusivamente para o iPad. Há um novo dock de apps que se parece muito com o existente no macOS – você pode clicar em qualquer um deles e o arrastar para o canto direito da tela para abri-lo como um Slide Over. Como sempre, você pode travar o Slide Over na Split View para usar dois apps ao mesmo tempo. O mais interessante é que agora você pode arrastar e soltar entre os dois apps na tela dividida, o que facilita a transferência arquivos, imagens, textos e URLs.

A Apple também lançou o Files, um novo app para iOS que tem o objetivo de tornar a experiência do iPad mais parecida com um Mac tradicional. Bastante auto-explicativo, o Files mostra seus arquivos armazenados no iCloud, Dropbox, Google Drive e outros aplicativos de armazenamento.

Apple estaria trabalhando em um chip dedicado a inteligência artificial para futuros iGadgets

Por Bruno Santana

26/05/2017 às 19:38 no site MacMagazine

Imagino que não seja nenhuma novidade para você, caso seja do seu hábito acompanhar (mesmo que levemente) as notícias sobre o mundo da Apple, que Tim Cook e sua turma — bem como o resto do Vale do Silício, é bom notar — estão cada vez mais focados nas duas letrinhas mágicas da tecnologia: IA. A inteligência artificial é vista como a próxima etapa na evolução tecnológica e, portanto, temos basicamente uma corrida acontecendo entre as grandes e pequenas empresas para decidir quem emergirá como pioneira e campeã na arte de produzir consciências digitais inteligentes.

Entre aquisições e investimentos recentes, a Apple tem feito a sua parte para conquistar uma posição confortável nessa disputa e, agora, um novo rumor pode botar ainda mais fogo na incessante busca pela inteligência artificial perfeita pros lados de Cupertino.

Tarefas como reconhecimento facial e de voz seriam relegadas a este coprocessador, exigindo menos do SoC principal.

De acordo com a Bloomberg, que cita informações obtidas com uma fonte “familiar aos planos da Apple”, a Maçã estaria desenvolvendo um novo tipo de coprocessador destinado a equipar futuros dispositivos iOS; sua função exclusiva seria lidar com as tarefas do sistema relacionadas à inteligência artificial.

O chip, que internamente é chamado de “Apple Neural Engine” (algo como “Motor Neural da Apple”), funcionaria em conjunto ao processador principal da série A, assim como os chips da série M responsáveis por lidar com dados relativos ao movimento e posicionamento do dispositivo. Desta forma, tarefas como reconhecimento facial e de voz seriam relegadas a este coprocessador, exigindo menos do SoC1 principal e, consequentemente, economizando bateria e melhorando a performance do dispositivo.

Aparentemente, o plano da Apple é ambicioso e envolve inclusive oferecer aos desenvolvedores acesso ao chip para que eles tirem proveito da tecnologia. Desta forma, além de recursos nativos administrados pelo coprocessador, como reconhecimento facial no aplicativo Fotos, reconhecimento de fala e teclado preditivo, aplicativos de terceiros também teriam as suas capacidades de IA expandidas pela nova peça de hardware.

Ainda segundo a Bloomberg, a Apple já estaria testando esses coprocessadores em protótipos de iPhones, mas não está claro se o novo chip será incluído já no “iPhone 8/X/Pro/Edition” e/ou nos “iPhones 7s/7s Plus” especulados para o segundo semestre. Outro lugar onde tal peça poderia ser muito bem aproveitada seria no rumorejado alto-falante dedicado à Siri que, como indicam alguns rumores, poderá ser apresentado já na keynote de abertura da WWDC 2017, em menos de duas semanas. Neste caso, a “Apple Neural Engine” estaria muito perto de nós — vamos aguardar e ver o que acontece.

Apple adquire mais uma empresa de inteligência artificial, por cerca de US$200 milhões

Por Rafael Fischmann.
Em 13/05/2017 no site MacMagazine

A Fortune e o TechCrunch divulgaram hoje a mais nova aquisição multi-milionária da Apple. Foi a da startup Lattice Data, especializada em “dados negros/obscuros” — isto é, focada em inteligência artificial.

Conforme colocou o CIO neste artigo de 2014:

O Gartner define “dark data” como ativos de informação que as empresas coletam, processam e armazenam durante suas atividades regulares, mas os quais essas empresas geralmente falham em utilizar para outros propósitos (por exemplo, para análise, relações de negócios e monetização direta).

Fontes indicam que o negócio teria fechado em US$175-200 milhões, há poucas semanas. A Apple confirmou a aquisição, mas não o valor — e, para variar, não comentou nada sobre seus propósitos/planos.

A Lattice foi cofundada por dois professores de Ciências da Computação: Chris Re, que dá aulas na Universidade de Stanford; e Michael Cafarella, da Universidade de Michigan. Além deles, cerca de 20 engenheiros estariam agora trabalhando em Cupertino.

APPLE FECHA O SEU SEGUNDO TRIMESTRE FISCAL DE 2017 COM UMA RECEITA DE US$53 BILHÕES E 51 MILHÕES DE IPHONES VENDIDOS

Por Raphael Fishman.

Em 02/05/2017 no site Macmagazine.

Como previsto, a Apple acaba de revelar seus resultados financeiros referentes ao segundo trimestre fiscal de 2017, finalizado em 1º de abril.

Na divulgação dos resultados do primeiro trimestre, a companhia havia previsto que fecharia este com uma receita entre US$51,5 e US$53,5 bilhões. Ela fechou o período em US$52,9 bilhões, com lucro líquido de US$11 bilhões e ganhos por ação diluída de US$2,10. Os resultados comparam-se a US$50,6 bilhões, US$10,5 bilhões e US$1,90, respectivamente, há um ano. Vendas internacionais compreenderam 65% de todo o faturamento trimestral.

Os números por linhas de produtos:

• iPhone: 50,8 milhões de unidades (-1%), US$33,2 bilhões (+1%)
• iPad: 9 milhões de unidades (-13%), US$3,9 bilhões (-12%)
• Mac: 4,2 milhões de unidades (+4%), US$5,8 bilhões (+14%)
• Serviços: US$7 bilhões (+18%)
• Outros: US$2,9 bilhões (+31%)

No segundo trimestre fiscal de 2016, um complicado para a Apple, ela havia vendido 51,2 milhões de iPhones. Ou seja, a redução para 50,8 milhões é negativa (Wall Street apostava em 52 milhões) — embora o faturamento em si tenha crescido 1%, provavelmente impulsionado por uma maior venda dos modelos Plus. iPads continuam na mesma queda que temos visto há vários trimestres, Macs foram muito bem e a dupla Serviços/Outros está melhor do que nunca.

Eis a declaração do diretor executivo (CEO), Tim Cook:

Estamos orgulhosos em divulgar um forte trimestre de março, com o crescimento em receita acelerando desde o trimestre de dezembro e com uma demanda robusta contínua pelo iPhone 7 Plus. Nós observamos uma ótima resposta de consumidores a ambos os modelos do novo iPhone 7 (PRODUCT)RED Special Edition e estamos contentes com o forte momento do nosso negócio de Serviços, com a maior receita na história para um trimestre de 13 semanas. Olhando à frente, estamos empolgados em receber participantes de todo o mundo na nossa Worldwide Developers Conference anual, no mês que vem, em San Jose.

E a do diretor financeiro (CFO), Luca Maestri:

Nós geramos um fluxo de caixa operacional de US$12,5 bilhões e devolvemos mais de US$10 bilhões aos nossos investidores no trimestre de março. Dada a força do nosso negócio e a nossa confiança no futuro, estamos felizes em anunciar hoje outro aumento de US$50 bilhões ao nosso programa de retorno de capital.

Com esse novo aumento, já aprovado pelo conselho administrativo da Apple, o programa será estendido por mais quatro trimestres e terá pago um total de US$300 bilhões até o fim de março de 2019. Desde agosto de 2012, ela já retornou US$211 bilhões a acionistas — incluindo US$151 bilhões em recompra de ações.

O conselho da Apple também aprovou um aumento de 10,5% nos dividendos trimestrais da companhia, declarando agora um dividendo de US$0,63 por ação comum da Apple, pagável em 18 de maio de 2017 a todos os acionistas registrados ao fechamento dos negócios em 15 de maio de 2017.

Olhando à frente para o terceiro trimestre fiscal de 2017, a Apple prevê uma receita entre US$43,5 e US$45,5 bilhões, margem bruta entre 37,5% e 38,5%, gastos operacionais entre US$6,6 e US$6,7 bilhões, outras receitas/(despesas) de US$450 milhões e uma taxa de impostos de 25,5%.

Como sempre, a Apple iniciará em instantes — às 18h, pelo horário de Brasília — uma conferência ao vivo, em áudio, para discutir esses números e responder perguntas de analistas/jornalistas. O MacMagazine fará posteriormente um compilado de todos os destaques que rolarem por lá, fiquem ligados!

A reação imediata de Wall Street aos resultados da Apple não foi boa: neste momento, a $AAPLcai 1,66% nas negociações pós-fechamento dos pregões da NASDAQ, agora cotada a US$145,02.

Hoje mesmo ela fechou em alta pelo segundo dia consecutivo, registrando um novo recorde histórico para a empresa.

Dev brasileiro cria app para acompanhar evolução da linguagem Swift

PorRedação iMasters em 26/04/2017

Embora muitos desenvolvedores de aplicativos para as plataformas Apple já utilizem a linguagem de programação Swift, é pouco provável que poucos acompanhem de perto a sua evolução.

Além de anunciar os rumos da linguagem na Worldwide Developers Conference (WWDC), a empresa mantém todos os planos abertos no site Swift Evolution, que traz links para as propostas no GitHub.

Leia mais:

• Swift entra no Top 10 do Índice TIOBE pela primeira vez
• Versão 3.1 da Swift está disponível para download

Agora, o desenvolvedor brasileiro Thiago Holanda facilitou o acompanhamento dessas mudanças (em inglês) por meio de um app iOS que ele criou, chamado de Evolution – App.

Pessoas que trabalham na Apple twittaram sobre o app, que acabou ganhando um RT de Chris Lattner, o próprio criador da linguagem.

Confira mais informações no site MacMagazine.