Apple udělil 75 000 dolarů hackerovi, který objevil exploity, které mu umožnily unést fotoaparáty iPhonů a Maců.
Bezpečnostní výzkumník a bývalý bezpečnostní inženýr Amazon Web Services Ryan Pickren zveřejněno nejméně sedm zero-day zranitelností v Safari na Apple, podle Forbes. Tři z těchto zranitelností mohou být použity k únosu fotoaparátů zařízení iOS a macOS.
Doporučená videa
Zneužití vyžadovalo, aby oběti navštívily škodlivý web, který by pak mohl získat přístup ke kameře jejich zařízení, pokud dříve důvěřoval videokonferenční službě, jako je Zoom.
Příbuzný
- Apple může čelit „vážnému“ nedostatku iPhonu 15 kvůli výrobnímu problému, uvádí zpráva
- Doufám, že Apple přinese tuto funkci Vision Pro na iPhone
- 6 největších funkcí iOS 17, které Apple ukradl Androidu
"Chyba, jako je tato, ukazuje, proč by si uživatelé nikdy neměli být zcela jisti, že jejich fotoaparát je bezpečný," řekl Pickren Forbes, "bez ohledu na operační systém nebo výrobce."
Pickren informoval Apple o svém objevu v polovině prosince 2019. Apple ověřil všech sedm zranitelností a po několika týdnech vydal opravu pro zneužití fotoaparátu iOS a macOS. Bezpečnostní výzkumník pak dostal zaplaceno 75 000 dolarů, což byl podle Pickrena jeho první výdělek ze společnosti.
Bezpečnostní výzkumník Sean Wright řekl Forbesu, že exploit, který Pickren objevil, i když vyžadoval, aby oběť navštívila zákeřnou webové stránky, byl „velmi životaschopnou formou útoku“. Wright dodal, že ve srovnání s pozorností na webové kamery v počítačích toho nebylo mnoho zaměřit se na kamery a mikrofony mobilních telefonů, které jsou podle něj „mnohem pravděpodobnější cestou“ pro útočníky, pokud je chtějí odposlouchávat jejich cíle.
Odměny za chyby
Programy odměn za chyby poskytují pobídky bezpečnostním výzkumníkům, aby pomohli technologickým společnostem najít slabá místa v jejich softwaru, místo aby se exploity dostaly do rukou zákeřných hackerů.
Apple, který v roce 2016 spustil program odměn za chyby, provedl v srpnu 2019 změny, které zahrnovaly přidání odměna 1 milion dolarů pro hackery, kteří by mohli spustit „útok úplného řetězce spuštění jádra s nulovým kliknutím s vytrvalostí“. V prosinci 2019 byl program konečně rozšířen o přijímání příspěvků pro chyby macOS.
Konkurent Applu Google byl také štědrý se svým programem odměn za chyby, a to až do výše odměna 1,5 milionu dolarů za „využívání úplného řetězce vzdáleného spouštění kódu s vytrvalostí, které kompromituje zabezpečený prvek Titan M na zařízeních Pixel“. V roce 2019 zaplatil Google celkem 6,5 milionu dolarů v odměnách za chyby v celkové výši 21 milionů $ od spuštění programu v roce 2010.
Doporučení redakce
- Tato skrytá funkce Apple Watch je lepší, než jsem si dokázal představit
- Proč nemůžete používat Apple Pay ve Walmartu
- Máte iPhone, iPad nebo Apple Watch? Musíte jej aktualizovat hned teď
- 11 funkcí v iOS 17, které se nemohu dočkat, až je použiji na svém iPhonu
- Apple konečně opravil můj největší problém s iPhone 14 Pro Max
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
