Apple piešķīra 75 000 USD hakeram, kurš atklāja varoņdarbus, kas ļāva viņam nolaupīt iPhone un Mac datoru kameras.
Drošības pētnieks un bijušais Amazon Web Services drošības inženieris Raiens Pikrens atklāts vismaz septiņas nulles dienas ievainojamības Safari uz Apple, saskaņā ar Forbes. Trīs no šīm ievainojamībām var tikt izmantotas, lai nolaupītu iOS un macOS ierīču kameras.
Ieteiktie videoklipi
Ekspluatācijas rezultātā upuriem bija jāapmeklē ļaunprātīga vietne, kas pēc tam varēja piekļūt viņu ierīces kamerai, ja tā iepriekš bija uzticējusies kādam videokonferenču pakalpojumam, piemēram, Zoom.
Saistīts
- Apple var saskarties ar “nopietnu” iPhone 15 trūkumu ražošanas problēmas dēļ, teikts ziņojumā
- Es ceru, ka Apple piedāvās šo Vision Pro funkciju iPhone
- 6 lielākās iOS 17 funkcijas, ko Apple nozaga no Android
"Šāda kļūda parāda, kāpēc lietotājiem nekad nevajadzētu justies pilnīgi pārliecinātiem, ka viņu kamera ir droša," Forbes sacīja Pikrens, "neatkarīgi no operētājsistēmas vai ražotāja."
Pikrens informēja Apple par savu atklājumu 2019. gada decembra vidū. Apple apstiprināja visas septiņas ievainojamības un pēc dažām nedēļām izlaida labojumu iOS un macOS kameru izmantošanai. Pēc tam drošības pētniekam tika samaksāti 75 000 USD, kas, pēc Pikrena teiktā, bija viņa pirmie ienākumi no uzņēmuma.
Drošības pētnieks Šons Raits pastāstīja Forbes, ka Pikrena atklātā ekspluatācija, pat ja upurim bija jāapmeklē ļaunprātīga persona. vietne bija "ļoti dzīvotspējīgs uzbrukuma veids". Raits piebilda, ka, salīdzinot ar datoru tīmekļa kameru uzmanību, tas nav bijis daudz koncentrēties uz mobilo tālruņu kamerām un mikrofoniem, kas, viņaprāt, ir "daudz ticamāks ceļš" uzbrucējiem, ja viņi vēlas noklausīties viņu mērķi.
Kļūdu balvas
Kļūdu atlīdzības programmas sniedz stimulu drošības pētniekiem, lai palīdzētu tehnoloģiju uzņēmumiem atrast ievainojamības savā programmatūrā, nevis ļaunprātīgu hakeru rokās.
Apple, kas 2016. gadā uzsāka kļūdu novēršanas programmu, 2019. gada augustā veica izmaiņas, kas ietvēra 1 miljona dolāru atlīdzība hakeriem, kuri varētu neatlaidīgi uzsākt "nulles klikšķu pilnas ķēdes kodola izpildes uzbrukumu". 2019. gada decembrī programma beidzot tika paplašināta, lai pieņemtu iesniegumus par macOS kļūdas.
Arī Apple konkurents Google ir bijis dāsns ar savu kļūdu novēršanas programmu, ar līdz 1,5 miljonu dolāru atlīdzība par "pilnas ķēdes attālās koda izpildes izmantošanu ar noturību, kas apdraud Titan M drošo elementu Pixel ierīcēs." 2019. gadā Google kopumā samaksāja 6,5 miljoni ASV dolāru bug bounties, kopumā par 21 miljonu ASV dolāru kopš programmas uzsākšanas 2010. gadā.
Redaktoru ieteikumi
- Šī slēptā Apple Watch funkcija ir labāka, nekā es varēju iedomāties
- Kāpēc jūs nevarat izmantot Apple Pay vietnē Walmart
- Vai jums ir iPhone, iPad vai Apple Watch? Jums tas ir jāatjaunina tūlīt
- 11 funkcijas operētājsistēmā iOS 17, kuras es nevaru sagaidīt, kad varēšu izmantot savā iPhone
- Apple beidzot atrisināja manu lielāko problēmu ar iPhone 14 Pro Max
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.
