Apple ha assegnato 75.000 dollari a un hacker che ha scoperto degli exploit che gli hanno permesso di prendere il controllo delle fotocamere di iPhone e Mac.
Ryan Pickren, ricercatore di sicurezza ed ex ingegnere della sicurezza di Amazon Web Services divulgato almeno sette vulnerabilità zero-day in Safari per Apple, secondo Forbes. Tre di queste vulnerabilità possono essere utilizzate per dirottare le fotocamere dei dispositivi iOS e macOS.
Video consigliati
L’exploit richiedeva alle vittime di visitare un sito Web dannoso, che poteva quindi accedere alla fotocamera del proprio dispositivo se in precedenza si era fidato di un servizio di videoconferenza come Zoom.
Imparentato
- Apple potrebbe dover affrontare una “grave” carenza di iPhone 15 a causa di problemi di produzione, afferma il rapporto
- Spero che Apple porti questa funzionalità Vision Pro su iPhone
- Le 6 principali funzionalità di iOS 17 che Apple ha rubato ad Android
"Un bug come questo dimostra perché gli utenti non dovrebbero mai sentirsi totalmente sicuri che la propria fotocamera sia sicura", ha detto Pickren a Forbes, "indipendentemente dal sistema operativo o dal produttore".
Pickren ha informato Apple della sua scoperta a metà dicembre 2019. Apple ha convalidato tutte e sette le vulnerabilità e, dopo alcune settimane, ha rilasciato una correzione per l'exploit della fotocamera iOS e macOS. Il ricercatore di sicurezza è stato quindi pagato $ 75.000, che secondo Pickren erano i suoi primi guadagni dalla società.
Il ricercatore di sicurezza Sean Wright ha dichiarato a Forbes che l'exploit scoperto da Pickren richiedeva alla vittima di visitare un sito dannoso sito web, era "una forma di attacco molto praticabile". Wright ha aggiunto che, rispetto all'attenzione riservata alle webcam nei computer, non c'è stata molta attenzione concentrarsi sulle telecamere e sui microfoni dei telefoni cellulari, che secondo lui è "una via molto più probabile" per gli aggressori se vogliono origliare i loro obiettivi.
Premi bug
I programmi di bug bounty forniscono incentivi ai ricercatori di sicurezza per aiutare le aziende tecnologiche a trovare vulnerabilità nei loro software, invece che gli exploit cadano nelle mani di hacker malintenzionati.
Apple, che ha lanciato un programma bug bounty nel 2016, ha apportato modifiche nell'agosto 2019 che includevano l'aggiunta di un Ricompensa di 1 milione di dollari per gli hacker che potrebbero lanciare un "attacco di esecuzione del kernel a catena completa senza clic con persistenza". Nel dicembre 2019, il programma è stato finalmente ampliato per accettare iscrizioni per bug di macOS.
Anche il rivale di Apple, Google, è stato generoso con il suo programma bug bounty, con un massimo di Ricompensa da 1,5 milioni di dollari per "exploit di esecuzione di codice remoto a catena completa con persistenza che compromette l'elemento sicuro Titan M sui dispositivi Pixel". Nel 2019, Google ha pagato un totale di $ 6,5 milioni in bug bounties, per un totale di 21 milioni di dollari da quando il programma è stato lanciato nel 2010.
Raccomandazioni degli editori
- Questa funzionalità nascosta di Apple Watch è migliore di quanto avrei potuto immaginare
- Perché non puoi utilizzare Apple Pay su Walmart
- Hai un iPhone, iPad o Apple Watch? Devi aggiornarlo adesso
- 11 funzionalità di iOS 17 che non vedo l'ora di utilizzare sul mio iPhone
- Apple ha finalmente risolto il mio problema più grande con l'iPhone 14 Pro Max
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
