Apple tildelte $75.000 til en hacker, der opdagede bedrifter, der gjorde det muligt for ham at kapre kameraerne på iPhones og Macs.
Sikkerhedsforsker og tidligere Amazon Web Services-sikkerhedsingeniør Ryan Pickren afsløret mindst syv nul-dages sårbarheder i Safari til Apple, ifølge Forbes. Tre af disse sårbarheder kan bruges til at kapre kameraerne på iOS- og macOS-enheder.
Anbefalede videoer
Udnyttelsen krævede, at ofrene besøgte et ondsindet websted, som derefter kunne få adgang til deres enheds kamera, hvis det tidligere havde stolet på en videokonferencetjeneste såsom Zoom.
Relaterede
- Apple kan stå over for "alvorlig" iPhone 15-mangel på grund af produktionsproblem, siger rapporten
- Jeg håber, at Apple bringer denne Vision Pro-funktion til iPhone
- De 6 største iOS 17-funktioner, som Apple stjal fra Android
"En fejl som denne viser, hvorfor brugere aldrig skal føle sig helt sikre på, at deres kamera er sikkert," sagde Pickren til Forbes, "uanset operativsystem eller producent."
Pickren informerede Apple om sin opdagelse i midten af december 2019. Apple validerede alle syv sårbarheder og udgav efter et par uger en rettelse til iOS- og macOS-kameraudnyttelsen. Sikkerhedsforskeren fik derefter betalt $75.000, hvilket Pickren sagde var hans første indtjening fra virksomheden.
Sikkerhedsforsker Sean Wright fortalte Forbes, at den udnyttelse, som Pickren opdagede, selvom den krævede, at offeret besøgte en ondsindet hjemmeside, var "en meget levedygtig form for angreb." Wright tilføjede, at sammenlignet med opmærksomheden på webcams i computere, har der ikke været meget fokus på kameraer og mikrofoner på mobiltelefoner, som han sagde er "en langt mere sandsynlig rute" for angribere, hvis de vil aflytte deres mål.
Bug dusører
Bug bounty-programmer giver incitamenter til sikkerhedsforskere til at hjælpe teknologivirksomheder med at finde sårbarheder i deres software, i stedet for at udnyttelsen falder i hænderne på ondsindede hackere.
Apple, som lancerede et bug bounty-program i 2016, foretog ændringer i august 2019, der inkluderede tilføjelsen af en 1 million dollars i belønning for hackere, der kunne starte et "nul-klik fuld kæde-kerneudførelsesangreb med vedholdenhed." I december 2019 blev programmet endelig udvidet til at acceptere indsendelser til macOS-fejl.
Apple-konkurrenten Google har også været generøs med sit bug bounty-program, med en op til 1,5 millioner dollars i belønning for "fuld kæde fjernudførelse af kodeudnyttelse med vedholdenhed, som kompromitterer Titan M-sikkerhedselementet på Pixel-enheder." I 2019 betalte Google i alt 6,5 millioner dollars i bug-bounties, for i alt $21 millioner siden programmet blev lanceret i 2010.
Redaktørernes anbefalinger
- Denne skjulte Apple Watch-funktion er bedre, end jeg kunne have forestillet mig
- Hvorfor du ikke kan bruge Apple Pay hos Walmart
- Har du en iPhone, iPad eller Apple Watch? Du skal opdatere den lige nu
- 11 funktioner i iOS 17, som jeg ikke kan vente med at bruge på min iPhone
- Apple fik endelig løst mit største problem med iPhone 14 Pro Max
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
