Apple andis 75 000 dollarit häkkerile, kes avastas ärakasutamise, mis võimaldas tal kaaperdada iPhone'ide ja Macide kaameraid.
Turvateadlane ja endine Amazon Web Services turbeinsener Ryan Pickren avalikustatud Forbesi andmetel vähemalt seitse nullpäeva turvaauku Safaris Apple'ile. Nendest haavatavustest kolme võidakse kasutada iOS-i ja macOS-i seadmete kaamerate kaaperdamiseks.
Soovitatavad videod
Ärakasutamise tõttu pidid ohvrid külastama pahatahtlikku veebisaiti, mis pääses seejärel juurde nende seadme kaamerale, kui see oli varem videokonverentsiteenust, nagu Zoom, usaldanud.
Seotud
- Aruandes öeldakse, et Apple võib tootmisprobleemi tõttu seista silmitsi "tõsise" iPhone 15 puudusega
- Loodan, et Apple toob selle Vision Pro funktsiooni iPhone'i
- 6 suurimat iOS 17 funktsiooni, mille Apple varastas Androidilt
"Selline viga näitab, miks kasutajad ei tohiks kunagi olla täiesti kindlad, et nende kaamera on turvaline," ütles Pickren Forbesile, "olenemata operatsioonisüsteemist või tootjast."
Pickren teavitas Apple'i oma avastusest 2019. aasta detsembri keskel. Apple kinnitas kõik seitse turvaauku ja avaldas mõne nädala pärast iOS-i ja macOS-i kaamerate ärakasutamise paranduse. Seejärel maksti turvauurijale 75 000 dollarit, mis oli Pickreni sõnul tema esimene sissetulek ettevõttest.
Turvateadlane Sean Wright rääkis Forbesile, et Pickreni avastatud ärakasutamine eeldas, et ohver külastas pahatahtlikku veebisait oli "väga elujõuline rünnakuvorm". Wright lisas, et võrreldes arvutite veebikaamerate tähelepanuga pole seda palju olnud keskenduge mobiiltelefonide kaameratele ja mikrofonidele, mis on tema sõnul ründajate jaoks "palju tõenäolisem tee", kui nad tahavad pealt kuulata nende sihtmärgid.
Vigade hüved
Vearahaprogrammid pakuvad turbeuurijatele stiimuleid, et aidata tehnoloogiaettevõtetel leida oma tarkvaras haavatavusi, selle asemel et pahatahtlike häkkerite kätte sattuda.
Apple, kes käivitas 2016. aastal vigade hüvitamise programmi, tegi 2019. aasta augustis muudatusi, mis hõlmasid 1 miljoni dollari preemia häkkeritele, kes võiksid käivitada järjekindlalt nullklõpsuga täisahela tuumakäivitusrünnaku. 2019. aasta detsembris laiendati programmi lõpuks, et võtta vastu taotlusi macOS-i vead.
Apple'i rivaal Google on olnud helde ka oma vigade hüvitamise programmiga, mille puhul on kuni 1,5 miljoni dollari preemia "täieliku ahela kaugkäitamise järjekindlaks kasutamiseks, mis ohustab Titan M turvaelementi Pixeli seadmetes". 2019. aastal maksis Google kokku 6,5 miljonit dollarit vigade eest, kokku 21 miljonit dollarit alates programmi käivitamisest 2010. aastal.
Toimetajate soovitused
- See peidetud Apple Watchi funktsioon on parem, kui oleksin ette kujutanud
- Miks te ei saa Walmartis Apple Payd kasutada?
- Kas teil on iPhone, iPad või Apple Watch? Peate seda kohe värskendama
- 11 funktsiooni iOS 17-s, mida ma ei jõua ära oodata, et saaksin oma iPhone'is kasutada
- Apple lahendas lõpuks minu suurima probleemi iPhone 14 Pro Maxiga
Uuenda oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.