Hakkereilla on yleensä huono maine, mutta ilman heitä monet tietoturvaongelmat jäävät huomaamatta. Tämän todisti Ryan Pickren, kyberturvallisuuden tohtori. opiskelija Georgia Institute of Technologyssa.
Pickren löysi Apple Mac -laitteista vaarallisen haavoittuvuuden, joka salli luvattoman kameran käytön. Hän ilmoitti asiasta Applelle, ja hänen panoksestaan hänelle maksettiin 100 500 dollarin ennätyspalkkio.
Hakkeri kuvaili hakkerointiprosessia kohdassa a pitkä blogikirjoitus, meni yksityiskohtaisesti siihen, kuinka hän onnistui saavuttamaan lopputuloksen. Virheet liittyvät iCloud Sharingin ja Safari 15 -selaimen ongelmien hyödyntämiseen. Vaikka ongelma saattaa tuntua tilannekohtaiselta ja epätodennäköiseltä, että se toistuu, tarvitaan vain yksi haavoittuvuus, jotta hakkeri saa hallintaansa henkilön laitteeseen.
Suositellut videot
Haavoittuvuus alkoi an iCloud jakamissovellus nimeltä ShareBear. ShareBearin kautta käyttäjät voivat myöntää toisilleen pääsyn asiakirjojen saumattomasti jakamiseen. Kun käyttäjä hyväksyi kutsun jakaa tietty tiedosto toisen henkilön kanssa, Mac muisti tämän luvan eikä pyytänyt sitä enää. Valitettavasti vaikka tämä näyttää ensi silmäyksellä mukavalta elämänlaatuominaisuudesta, se voi johtaa hyväksikäyttöihin.
Koska tiedosto on tallennettu pilveen eikä paikallisesti, se voidaan vaihtaa milloin tahansa luvan myöntämisen jälkeen. Tämä voi johtaa siihen, että yksinkertainen kuva- tai tekstitiedosto muuttuu haitallista koodia sisältäväksi suoritettavaksi tiedostoksi. Pickren käytti tätä hyväksikäyttöä muuttaakseen tiedostotyyppejä ja saadakseen täyden pääsyn käyttäjän tiedostoihin Mac.
Pickren sanoi verkkosivuillaan: "Vaikka tämä bugi vaatii uhrin napsauttamaan "avaa" ponnahdusikkunassani verkkosivustollani, se johtaa muuhun kuin multimedialupien kaappaamiseen. Tällä kertaa virhe antaa hyökkääjälle täyden pääsyn kaikille uhrin vierailemille verkkosivustoille. Tämä tarkoittaa, että sen lisäksi, että käynnistän kamerasi, vikani voi myös hakkeroida iCloud-, PayPal-, Facebook, Gmail jne. myös tilit."
Kun tiedosto on avattu ShareBearin kautta, se voidaan käynnistää etänä milloin tahansa ilman lisäkehotetta. Kuten Pickren selittää, tämä avaa varmasti oven potentiaalisesti erittäin vaaralliselle hakkerille, mikä antaa täyden pääsyn kyseiseen Maciin.
Apple on korjannut virheen MacOS Monterey 12.0.1:ssä (julkaistu 25.10.2021) Pickrenin raportoitua siitä heinäkuussa. Pickrenin mukaan hänen 100 500 dollarin palkkio on korkein, mitä Apple on koskaan tarjonnut turvaohjelmansa kautta. Apple on myös viime aikoina korjattu toinen kriittinen bugi, tällä kertaa mukana WebKit.
Tämä ei ollut Pickrenin ensimmäinen Applen hakkerointirodeo. Vuonna 2019 hän onnistui murtautumaan iPhonen kameraan ja mikrofoniin paljastaen joukon vaarallisia haavoittuvuuksia Applen koodissa. Apple palkitsi hänet anteliaasti hänen ponnisteluistaan ja antoi hänelle 75 000 dollaria vastineeksi virheiden löytämisestä ja ilmoittamisesta.
Toimittajien suositukset
- Suuri vuoto paljastaa jokaisen Macin salaisuuden, jota Apple työskentelee
- Tästä syystä Applen M3 MacBook -siru voi tuhota kilpailijansa
- Applen 600 dollarin M2 Mac mini tuhoaa 6 000 dollarin Mac Pron
- Apple julkistaa uuden MacBook Pron, jossa on M2 Pro- ja M2 Max -sirut
- Tässä on mitä tiedämme Applen vuodelle 2023 suunnittelemista massiivisista Mac-julkaisuista
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
