Apple maksis õpilasele Maci eduka häkkimise eest 100 000 dollarit

Häkkeritel on tavaliselt halb maine, kuid ilma nendeta jääksid paljud turvaprobleemid avastamata. Seda tõestas küberjulgeoleku doktor Ryan Pickren. Georgia Tehnoloogiainstituudi üliõpilane.

Pickren leidis Apple Maci seadmetes ohtliku haavatavuse, mis võimaldas kaamerale volitamata juurdepääsu. Ta teatas sellest Apple'ile ja tema panuse eest maksti talle rekordiline 100 500 dollari suurune preemia.

Kolledži üliõpilane Ryan Pickren sai Apple'ilt Maci veebikaamera häkkimise eest kopsaka pearaha.
Pildi allikas: RyanPickren.com

Häkker kirjeldas häkkimisprotsessi a pikk blogipostitus, laskudes üksikasjalikult, kuidas ta suutis lõpptulemuse saavutada. Vead keerlevad iCloud Sharingi ja Safari 15 brauseri probleemide ärakasutamise ümber. Kuigi probleem võib tunduda situatsiooniline ja seda tõenäoliselt ei korrata, on häkkeril vaja vaid ühte haavatavust, et saada kontroll inimese seadme üle.

Soovitatavad videod

Haavatavus sai alguse an iCloud jagamisrakendus nimega ShareBear. ShareBeari kaudu saavad kasutajad üksteisele juurdepääsu anda, et dokumente sujuvalt jagada. Kui kasutaja võttis vastu kutse teatud faili teise inimesega jagada, jättis Mac selle loa meelde ega küsinud seda enam. Kahjuks, kuigi see näib esmapilgul kena elukvaliteedi funktsioon, võib see põhjustada ärakasutamist.

Kuna fail on salvestatud pilve, mitte kohapeal, saab seda pärast loa andmist igal ajal vahetada. Selle tulemusena võib lihtne pilt või tekstifail muutuda pahatahtliku koodiga käivitatavaks failiks. Pickren kasutas seda ärakasutamist failitüüpide muutmiseks ja täieliku juurdepääsu saamiseks kasutajale Mac.

ShareBeari häkkimise vooskeem.
Pildi allikas: RyanPickren.com

Pickren ütles oma veebisaidil: "Kuigi selle vea tõttu peab ohver klõpsama minu veebisaidi hüpikaknas nuppu "Ava", on selle tulemuseks enamat kui lihtsalt multimeediumilubade kaaperdamine. Seekord annab viga ründajale täieliku juurdepääsu igale veebisaidile, mida ohver on kunagi külastanud. See tähendab, et lisaks kaamera sisselülitamisele võib minu viga häkkida ka teie iCloudi, PayPali, Facebook, Gmail jne. ka kontod."

Kui faili on ShareBeari kaudu juurde pääsetud, saab selle igal hetkel ilma täiendava viipata kaugkäivitada. Nagu Pickren selgitab, avab see kindlasti ukse potentsiaalselt väga ohtlikule häkkimisele, mis annab täieliku juurdepääsu kõnealusele Macile.

Apple parandas MacOS Monterey 12.0.1 (käivitatud 25. oktoobril 2021) vea pärast seda, kui Pickren sellest juulis teatas. Pickreni sõnul on tema 100 500 dollari suurune boonus kõrgeim, mida Apple oma turvaprogrammi kaudu kunagi pakkunud on. Apple on samuti hiljuti parandas veel ühe kriitilise vea, mis seekord hõlmab WebKiti.

See ei olnud Pickreni esimene Apple'i häkkimisrodeo. 2019. aastal suutis ta sisse murda iPhone'i kaamerasse ja mikrofoni, paljastades mitmeid ohtlikke turvaauke Apple'i koodis. Apple premeeris teda jõupingutuste eest heldelt, andes talle vigade leidmise ja sellest teatamise eest 75 000 dollarit.

Toimetajate soovitused

  • Suur leke paljastab kõik saladused, mille kallal Mac Apple töötab
  • Siin on põhjus, miks Apple'i M3 MacBooki kiip võib oma rivaalid hävitada
  • Apple'i 600-dollarine M2 Mac mini hävitab 6000-dollarise Mac Pro
  • Apple teatab uuest M2 Pro ja M2 Max kiipidega MacBook Prost
  • Siin on see, mida me teame Apple'i 2023. aastaks kavandatud tohututest Maci turuletoomistest

Uuenda oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.