Apple kende 75.000 dollar toe aan een hacker die exploits ontdekte waarmee hij de camera's van iPhones en Macs kon kapen.
Beveiligingsonderzoeker en voormalig Amazon Web Services-beveiligingsingenieur Ryan Pickren onthuld Volgens Forbes zijn er minstens zeven zero-day-kwetsbaarheden in Safari voor Apple. Drie van deze kwetsbaarheden kunnen worden gebruikt om de camera’s van iOS- en macOS-apparaten te kapen.
Aanbevolen video's
De exploit vereiste dat slachtoffers een kwaadwillende website bezochten, die vervolgens toegang kon krijgen tot de camera van hun apparaat als dit eerder een videoconferentiedienst zoals Zoom had vertrouwd.
Verwant
- Apple kan te maken krijgen met een ‘ernstig’ iPhone 15-tekort vanwege productieproblemen, aldus het rapport
- Ik hoop dat Apple deze Vision Pro-functie naar de iPhone brengt
- De 6 grootste iOS 17-functies die Apple van Android heeft gestolen
“Een bug als deze laat zien waarom gebruikers er nooit volledig zeker van mogen zijn dat hun camera veilig is”, vertelde Pickren aan Forbes, “ongeacht het besturingssysteem of de fabrikant.”
Pickren informeerde Apple medio december 2019 over zijn ontdekking. Apple valideerde alle zeven kwetsbaarheden en bracht na een paar weken een oplossing uit voor de iOS- en macOS-camera-exploit. De beveiligingsonderzoeker kreeg vervolgens $ 75.000 betaald, wat volgens Pickren zijn eerste inkomsten van het bedrijf waren.
Beveiligingsonderzoeker Sean Wright vertelde Forbes dat de exploit die Pickren ontdekte, zelfs als het slachtoffer daarvoor een kwaadwillende moest bezoeken website, was “een zeer haalbare vorm van aanval.” Wright voegde eraan toe dat er, vergeleken met de aandacht voor webcams in computers, niet veel is gebeurd focus op de camera’s en microfoons van mobiele telefoons, wat volgens hem “een veel waarschijnlijkere route” is voor aanvallers als ze willen afluisteren hun doelwitten.
Bugpremies
Bug bounty-programma's bieden beveiligingsonderzoekers prikkels om technologiebedrijven te helpen kwetsbaarheden in hun software te vinden, in plaats van dat de exploits in handen vallen van kwaadwillende hackers.
Apple, dat in 2016 een bugbounty-programma lanceerde, heeft in augustus 2019 wijzigingen aangebracht, waaronder de toevoeging van een Een beloning van $ 1 miljoen voor hackers die een “zero-click volledige keten kerneluitvoeringsaanval met volharding” zouden kunnen lanceren. In december 2019 werd het programma eindelijk uitgebreid om inzendingen te accepteren macOS-bugs.
Apple-rivaal Google is ook genereus geweest met zijn bugbounty-programma, met een bedrag van maximaal Beloning van $ 1,5 miljoen voor “volledige keten uitvoering van externe code met persistentie die het Titan M-beveiligingselement op Pixel-apparaten in gevaar brengt.” In 2019 betaalde Google in totaal € $ 6,5 miljoen aan bugpremies, voor een totaal van $21 miljoen sinds de lancering van het programma in 2010.
Aanbevelingen van de redactie
- Deze verborgen Apple Watch-functie is beter dan ik me had kunnen voorstellen
- Waarom u Apple Pay niet kunt gebruiken bij Walmart
- Heb je een iPhone, iPad of Apple Watch? Je moet het nu bijwerken
- 11 functies in iOS 17 die ik niet kan wachten om te gebruiken op mijn iPhone
- Apple heeft eindelijk mijn grootste probleem met de iPhone 14 Pro Max opgelost
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
