يك محقق امنيتي سه‌شنبه‌ي گذشته اعلام كرد شبكه‌ي سازمانيبراي مدت چند ماه در خطر هك شدن بوده است. اين هك احتمالي درصورت به ‌وقوع ‌پيوستن ممكن بود با سرقت اطلاعات حساس ميليون‌ها كاربر اپل و اجراي كدهاي مخرب در گوشي هوشمند و رايانه‌ي آن‌ها همراه شود. سم كري، محقق ۲۰ ساله و م=ايت‌ها، در گفت‌و‌گو با رسانه‌ي وايرد گفت او و اعضاي تيمش درمجموع ۵۵ آسيب‌پذيري در شبكه‌ي سازماني اپل پيدا كرده‌اند كه ادعايي درخورتوجه است.

كري مي‌گويد ۱۱ مورد از اين آسيب‌پذيري‌ها، بحراني بوده‌اند؛ زيرا همين آسيب‌پذيري‌ها به او امكان مي‌دادند كنترل زيرساخت اصلي شبكه‌ي اپل را دراختيار بگيرد و از همان طريق ايميل‌هاي خصوصي و داده‌هاي آي‌كلاد و ديگر اطلاعات خصوصي حساس را به‌سرقت ببرد. بر اساس گفته‌ي سم كري، باگ‌هاي بحراني شبكه‌ي سازماني اپل تنوع بالايي داشتند.

طبق گزارش خبرگزاري وايرد، اپل به‌محض اطلاع از اين آسيب‌پذيري‌ها در راستاي رفع كردن آن‌ها قدم برداشته است. سم كري در دوره‌اي سه‌ماهه اپل را از تمامي آسيب‌پذيري‌ها مطلع كرد و اپل آسيب‌پذيري‌ها را از بين برد. كري مي‌گويد در برخي مواقع چند ساعت پس از مشاهده‌ي اوليه‌ي آسيب‌پذيري،‌ جزئيات آن را به اپل ارائه داده است.

ظاهرا اپل جزئيات نيمي ازمحقق ۲۰ ساله ۵۵ نقص امنيتي در شبكه سازماني اپل پيدا كرد آسيب‌پذيري‌ها را براي پرداخت جايزه‌ي آن‌ها موردبررسي قرار داده و فعلا متعهد به پرداخت ۲۸۸,۰۰۰ دلار به محقق ۲۰ ساله و اعضاي تيمش شده است. كري مي‌گويد وقتي فرايند برررسي تمامي آسيب‌پذيري‌ها به‌اتمام برسد، مبلغ نهايي جايزه ممكن است از مرز ۵۰۰٬۰۰۰ دلار رد شود. 

سم كري چند ساعت پس از انتشار مقاله‌ي ۹۲۰۰ كلمه‌اي خود با عنوان «ما اپل را به‌مدت سه ماه هك كرديم: هرآنچه پيدا كرده‌ايم در ادامه آورده‌ايم» در چتي آنلاين با رسانه‌ي وايرد شركت كرد و گفت: «اگر آسيب‌پذيري‌هاي موردبحث توسط هكر مورد استفاده قرار مي‌گرفتند، حجم عظيمي از داده‌هاي اپل فاش مي‌شد و اين شركت بي‌نقص‌ بودن خود در حوزه‌ي امنيت را از دست مي‌داد. براي مثال هكر امكان دسترسي به ابزارهاي داخلي مديريت اطلاعات كاربران اپل را پيدا مي‌كرد و مي‌توانست تغييرات مد نظر خود را در نحوه‌ي كار سيستم‌ها اعمال كند.»

از بين جدي‌ترين خطراتي كه شبكه‌ي سازماني اپل را تهديد مي‌كرد مي‌توانيم به يك آسيب‌پذيري در تجزيه‌كننده‌ي جاواسكريپتي كه توسط سرورهاي آي‌كلاد مورد استفاده قرار مي‌گيرد اشاره كنيم؛ اين آسيب‌پذيري امكان حمله‌ي XSS يا Cross Site Scripting را فراهم مي‌كرد. از آن‌جايي كه آي‌كلاد به اپل ميل (Apple Mail) سرويس‌دهي مي‌كند، هكر ازلحاظ تئوري مي‌توانست لينكي مخرب براي فردي كه ايميلي با پسوند iCloud.com يا Mac.com دارد بفرستد و از آسيب‌پذيري بهره‌برداري كند.

در نظر داشته باشيد كه به‌منظور بهره‌برداري از اين آسيب‌پذيري، كافي بود كاربر ايميل را باز كند؛ اين يعني حتي به كليك كردن روي لينك هم نيازي نبود. به ‌دنبال باز شدن ايميل، اسكريپت مخربي كه درون ايميل پنهان شده بود به هكر امكان مي‌داد تمامي كارهايي كه كاربر به ‌هنگام مراجعه به سايت iCloud.com ازطريق مرورگر توانايي انجام دادن‌شان را داشت، انجام دهد.