Apple myönsi 75 000 dollaria hakkerille, joka löysi hyväksikäytöt, joiden avulla hän pystyi kaappaamaan iPhonen ja Macin kamerat.
Tietoturvatutkija ja entinen Amazon Web Services -tietoturvainsinööri Ryan Pickren paljastettu Forbesin mukaan vähintään seitsemän nollapäivän haavoittuvuutta Safarista Applelle. Kolmea näistä haavoittuvuuksista voidaan käyttää iOS- ja macOS-laitteiden kameroiden kaappaamiseen.
Suositellut videot
Hyökkäys pakotti uhrien vierailemaan haitallisella verkkosivustolla, joka pääsi sitten käyttämään laitteen kameraa, jos se olisi aiemmin luottanut videoneuvottelupalveluun, kuten Zoomiin.
Liittyvät
- Raportin mukaan Apple voi kohdata "vakavan" iPhone 15 -pulan tuotantoongelman vuoksi
- Toivon, että Apple tuo tämän Vision Pro -ominaisuuden iPhoneen
- Kuusi suurinta iOS 17 -ominaisuutta, jotka Apple varasti Androidilta
"Tällainen virhe osoittaa, miksi käyttäjien ei koskaan pitäisi olla täysin varmoja siitä, että heidän kameransa on turvallinen", Pickren kertoi Forbesille, "käyttöjärjestelmästä tai valmistajasta riippumatta."
Pickren ilmoitti Applelle löydöstään joulukuun 2019 puolivälissä. Apple vahvisti kaikki seitsemän haavoittuvuutta ja julkaisi muutaman viikon kuluttua korjauksen iOS- ja macOS-kameran hyväksikäyttöön. Turvatutkijalle maksettiin sitten 75 000 dollaria, mikä Pickren sanoi olevan hänen ensimmäinen tulonsa yrityksestä.
Tietoturvatutkija Sean Wright kertoi Forbesille, että Pickren löysi hyväksikäytön, vaikka se vaati uhrin vierailemaan pahantahtoisen luona. verkkosivusto oli "erittäin toteuttamiskelpoinen hyökkäysmuoto". Wright lisäsi, että verrattuna tietokoneiden verkkokameroiden huomioimiseen, se ei ole ollut paljon keskittyä matkapuhelinten kameroihin ja mikrofoneihin, mikä on hänen mukaansa "paljon todennäköisempi reitti" hyökkääjille, jos he haluavat salakuunnella heidän tavoitteensa.
Vikapalkkiot
Virhepalkkio-ohjelmat kannustavat tietoturvatutkijoita auttamaan teknologiayrityksiä löytämään haavoittuvuuksia ohjelmistoissaan sen sijaan, että hyväksikäytöt joutuisivat haitallisten hakkerien käsiin.
Apple, joka käynnisti virhepalkkioohjelman vuonna 2016, teki elokuussa 2019 muutoksia, joihin sisältyi 1 miljoonan dollarin palkinto hakkereille, jotka voivat käynnistää "nolla-napsautuksen koko ketjun ytimen suoritushyökkäyksen sitkeästi". Joulukuussa 2019 ohjelmaa lopulta laajennettiin vastaanottamaan ehdotuksia macOS bugeja.
Applen kilpailija Google on myös ollut antelias bug bounty -ohjelmassaan, jopa 1,5 miljoonan dollarin palkkio "täysketjuiselle koodin etäsuorituksen hyväksikäytölle, joka vaarantaa Titan M -suojatun elementin Pixel-laitteissa". Vuonna 2019 Google maksoi yhteensä 6,5 miljoonaa dollaria bugipalkkioissa, yhteensä 21 miljoonalla dollarilla ohjelman käynnistämisestä vuonna 2010.
Toimittajien suositukset
- Tämä piilotettu Apple Watch -ominaisuus on parempi kuin olisin voinut kuvitella
- Miksi et voi käyttää Apple Payta Walmartissa?
- Onko sinulla iPhone, iPad tai Apple Watch? Sinun on päivitettävä se heti
- 11 iOS 17:n ominaisuutta, joita en malta odottaa pääseväni käyttämään iPhonessani
- Apple korjasi vihdoin suurimman ongelmani iPhone 14 Pro Maxin kanssa
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
