„Apple“ skyrė 75 000 USD įsilaužėliui, atradusiam išnaudojimus, leidžiančius jam užgrobti „iPhone“ ir „Mac“ kompiuterių kameras.
Saugumo tyrinėtojas ir buvęs „Amazon Web Services“ saugos inžinierius Ryanas Pickrenas atskleista „Forbes“ duomenimis, mažiausiai septynios nulinės dienos „Safari“ pažeidžiamumas „Apple“. Trys iš šių pažeidžiamumų gali būti naudojami „iOS“ ir „MacOS“ įrenginių kameroms užgrobti.
Rekomenduojami vaizdo įrašai
Dėl išnaudojimo aukos turėjo apsilankyti kenkėjiškoje svetainėje, kuri galėtų pasiekti jų įrenginio kamerą, jei anksčiau būtų pasitikėjusi vaizdo konferencijų paslauga, pvz., Zoom.
Susijęs
- „Apple“ gali susidurti su „dideliu“ „iPhone 15“ trūkumu dėl gamybos problemos, sakoma pranešime
- Tikiuosi, kad „Apple“ įdiegs šią „Vision Pro“ funkciją „iPhone“.
- 6 didžiausios „iOS 17“ funkcijos, kurias „Apple“ pavogė iš „Android“.
„Tokia klaida rodo, kodėl vartotojai niekada neturėtų jaustis visiškai įsitikinę, kad jų fotoaparatas yra saugus“, – „Forbes“ sakė Pickrenas, „nepriklausomai nuo operacinės sistemos ar gamintojo“.
Pickrenas informavo Apple apie savo atradimą 2019 m. gruodžio viduryje. „Apple“ patvirtino visus septynis pažeidžiamumus ir po kelių savaičių išleido „iOS“ ir „MacOS“ kamerų išnaudojimo pataisą. Tada saugumo tyrėjui buvo sumokėta 75 000 USD, o tai, pasak Pickreno, buvo pirmasis jo uždarbis iš bendrovės.
Saugumo tyrinėtojas Seanas Wrightas „Forbes“ papasakojo, kad Pickreno atrastas išnaudojimas, net jei tam reikėjo, kad auka aplankytų kenkėjišką svetainė buvo „labai perspektyvi atakos forma“. Wrightas pridūrė, kad, palyginti su dėmesiu kompiuterių kameroms, to nebuvo daug sutelkti dėmesį į mobiliųjų telefonų kameras ir mikrofonus, kurie, jo teigimu, yra „daug labiau tikėtinas kelias“ užpuolikams, jei jie nori pasiklausyti jų taikiniai.
Klaidų dovanos
Klaidų atlyginimo programos skatina saugumo tyrinėtojus padėti technologijų įmonėms rasti savo programinės įrangos pažeidžiamumą, o ne išnaudojimus, kurie patektų į kenkėjiškų įsilaužėlių rankas.
„Apple“, kuri 2016 m. pradėjo klaidų mažinimo programą, 2019 m. rugpjūčio mėn. padarė pakeitimus, įskaitant 1 milijono dolerių atlygis įsilaužėliams, kurie galėtų atkakliai pradėti „nulio paspaudimo visos grandinės branduolio vykdymo ataką“. 2019 m. gruodžio mėn. programa pagaliau buvo išplėsta, kad būtų galima priimti paraiškas macOS klaidos.
„Apple“ konkurentė „Google“ taip pat dosniai naudojo savo klaidų kompensavimo programą, suteikdama iki $1,5 milijono atlygis už „visos grandinės nuotolinio kodo vykdymo išnaudojimą ir atkaklumą, kuris pažeidžia Titan M saugų elementą Pixel įrenginiuose“. 2019 m. „Google“ iš viso sumokėjo 6,5 milijono dolerių už klaidas, iš viso 21 mln. USD nuo programos pradžios 2010 m.
Redaktorių rekomendacijos
- Ši paslėpta „Apple Watch“ funkcija yra geresnė, nei galėjau įsivaizduoti
- Kodėl „Walmart“ negalite naudoti „Apple Pay“.
- Turite iPhone, iPad arba Apple Watch? Turite jį atnaujinti dabar
- 11 iOS 17 funkcijų, kurias nekantrauju panaudoti savo iPhone
- „Apple“ pagaliau išsprendė mano didžiausią problemą su „iPhone 14 Pro Max“.
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
