Apple a accordé 75 000 $ à un pirate informatique qui a découvert des exploits lui permettant de détourner les caméras des iPhones et des Mac.
Ryan Pickren, chercheur en sécurité et ancien ingénieur en sécurité d'Amazon Web Services divulgué au moins sept vulnérabilités zero-day dans Safari pour Apple, selon Forbes. Trois de ces vulnérabilités peuvent être utilisées pour pirater les caméras des appareils iOS et macOS.
Vidéos recommandées
L’exploit obligeait les victimes à visiter un site Web malveillant, qui pouvait alors accéder à la caméra de leur appareil si elles avaient auparavant fait confiance à un service de vidéoconférence tel que Zoom.
En rapport
- Apple pourrait être confronté à une « grave » pénurie d’iPhone 15 en raison d’un problème de production, selon un rapport
- J'espère qu'Apple apportera cette fonctionnalité Vision Pro à l'iPhone
- Les 6 plus grandes fonctionnalités iOS 17 qu'Apple a volées à Android
"Un bug comme celui-ci montre pourquoi les utilisateurs ne devraient jamais être totalement sûrs que leur caméra est sécurisée", a déclaré Pickren à Forbes, "quel que soit le système d'exploitation ou le fabricant".
Pickren a informé Apple de sa découverte à la mi-décembre 2019. Apple a validé les sept vulnérabilités et, après quelques semaines, a publié un correctif pour l'exploit de la caméra iOS et macOS. Le chercheur en sécurité a ensuite reçu 75 000 $, ce qui, selon Pickren, était son premier revenu de l'entreprise.
Le chercheur en sécurité Sean Wright a déclaré à Forbes que l'exploit découvert par Pickren, même s'il obligeait la victime à visiter un site malveillant site Web, était « une forme d’attaque très viable ». Wright a ajouté que comparé à l'attention portée aux webcams des ordinateurs, il n'y a pas eu beaucoup d'attention se concentrer sur les caméras et les microphones des téléphones portables, ce qui, selon lui, constitue « une voie beaucoup plus probable » pour les attaquants s'ils veulent écouter clandestinement. leurs cibles.
Primes de bugs
Les programmes de bug bounty incitent les chercheurs en sécurité à aider les entreprises technologiques à découvrir les vulnérabilités de leurs logiciels, au lieu que les exploits tombent entre les mains de pirates malveillants.
Apple, qui a lancé un programme de bug bounty en 2016, a apporté des modifications en août 2019, notamment l'ajout d'un Récompense d'un million de dollars pour les pirates qui pourraient lancer une « attaque d’exécution du noyau en chaîne complète sans clic avec persistance ». En décembre 2019, le programme a finalement été élargi pour accepter les candidatures pour Bogues macOS.
Le rival d'Apple, Google, a également été généreux avec son programme de bug bounty, avec jusqu'à Récompense de 1,5 million de dollars pour « un exploit d’exécution de code à distance complet avec persistance qui compromet l’élément sécurisé Titan M sur les appareils Pixel ». En 2019, Google a payé un total de 6,5 millions de dollars en bug bounties, pour un total de 21 millions de dollars depuis le lancement du programme en 2010.
Recommandations des rédacteurs
- Cette fonctionnalité cachée de l'Apple Watch est meilleure que ce que j'aurais pu imaginer
- Pourquoi vous ne pouvez pas utiliser Apple Pay chez Walmart
- Vous possédez un iPhone, un iPad ou une Apple Watch? Vous devez le mettre à jour maintenant
- 11 fonctionnalités d'iOS 17 que j'ai hâte d'utiliser sur mon iPhone
- Apple a enfin résolu mon plus gros problème avec l'iPhone 14 Pro Max
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
