Hackeři mají obvykle špatnou pověst, ale bez nich by mnoho bezpečnostních problémů zůstalo neodhaleno. To dokázal Ryan Pickren, Ph.D. student na Georgia Institute of Technology.
Pickren našel nebezpečnou zranitelnost na zařízeních Apple Mac, která umožňovala neoprávněný přístup k fotoaparátu. Nahlásil to Applu a za jeho příspěvek mu byla vyplacena rekordní odměna 100 500 dolarů.
Hacker popsal proces hackování v a dlouhý příspěvek na blogu, zachází do podrobností o tom, jak byl schopen dosáhnout konečného výsledku. Chyby se točí kolem zneužití problémů s iCloud Sharing a prohlížečem Safari 15. Přestože se problém může zdát situační a nepravděpodobné, že se bude opakovat, hackerovi stačí jedna zranitelnost, aby získal kontrolu nad zařízením osoby.
Doporučená videa
Chyba zabezpečení začala iCloud aplikace pro sdílení s názvem ShareBear. Prostřednictvím ShareBear si uživatelé mohou navzájem udělit přístup za účelem bezproblémového sdílení dokumentů. Jakmile uživatel přijal pozvání ke sdílení konkrétního souboru s jinou osobou, Mac si toto povolení zapamatoval a už o něj nikdy nepožádal. Naneštěstí, i když se to na první pohled zdá jako hezká kvalita života, může to mít za následek zneužití.
Protože je soubor uložen v cloudu a ne lokálně, lze jej po udělení oprávnění kdykoli vyměnit. To může vést k tomu, že se jednoduchý obrázek nebo textový soubor změní na spustitelný soubor se škodlivým kódem. Pickren použil tento exploit ke změně typů souborů a získání plného přístupu k uživatelům Mac.
Pickren na svém webu uvedl: „I když tato chyba vyžaduje, aby oběť klikla na ‚otevřít‘ na vyskakovací okno z mého webu, výsledkem je víc než jen únos multimediálních oprávnění. Tentokrát chyba dává útočníkovi plný přístup ke všem webovým stránkám, které kdy oběť navštívila. To znamená, že kromě zapnutí vaší kamery může moje chyba také hacknout váš iCloud, PayPal, Facebook, Gmail atd. také účty."
Jakmile je soubor zpřístupněn přes ShareBear, lze jej kdykoli vzdáleně spustit bez další výzvy. Jak vysvětluje Pickren, to jistě otevírá dveře potenciálně velmi nebezpečnému hacku, který poskytuje plný přístup k dotyčnému Macu.
Apple opravil chybu v MacOS Monterey 12.0.1 (spuštěno 25. října 2021) poté, co ji Pickren v červenci oznámil. Jeho odměna 100 500 dolarů je podle Picklena nejvyšší, jakou kdy Apple prostřednictvím svého bezpečnostního programu nabídl. Apple také nedávno opravena další kritická chyba, tentokrát zahrnující WebKit.
Toto nebylo Picklenovo první hackerské rodeo Apple. V roce 2019 se mu podařilo proniknout do kamery a mikrofonu iPhonu, čímž odhalil řadu nebezpečných zranitelností v kódu Applu. Apple ho za jeho úsilí štědře odměnil a výměnou za nalezení a nahlášení chyb mu dal 75 000 dolarů.
Doporučení redakce
- Velký únik odhaluje všechna tajemství, na kterých Mac Apple pracuje
- Zde je důvod, proč by čip Apple M3 MacBook mohl zničit své soupeře
- Apple M2 Mac mini za 600 dolarů vymaže Mac Pro za 6 000 dolarů
- Apple oznamuje nový MacBook Pro s čipy M2 Pro a M2 Max
- Zde je to, co víme o masivních představeních Maců, které Apple plánuje na rok 2023
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
