Apple tildelte 75 000 dollar til en hacker som oppdaget bedrifter som tillot ham å kapre kameraene til iPhone og Mac.
Sikkerhetsforsker og tidligere Amazon Web Services-sikkerhetsingeniør Ryan Pickren avslørt minst syv nulldagers sårbarheter i Safari til Apple, ifølge Forbes. Tre av disse sårbarhetene kan brukes til å kapre kameraene til iOS- og macOS-enheter.
Anbefalte videoer
Utnyttelsen krevde at ofrene besøkte et ondsinnet nettsted, som deretter kunne få tilgang til enhetens kamera hvis den tidligere hadde stolt på en videokonferansetjeneste som Zoom.
I slekt
- Apple kan møte "alvorlig" iPhone 15-mangel på grunn av produksjonsproblem, sier rapporten
- Jeg håper Apple bringer denne Vision Pro-funksjonen til iPhone
- De 6 største iOS 17-funksjonene som Apple stjal fra Android
"En feil som dette viser hvorfor brukere aldri skal føle seg helt sikre på at kameraet deres er sikkert," sa Pickren til Forbes, "uavhengig av operativsystem eller produsent."
Pickren informerte Apple om oppdagelsen hans i midten av desember 2019. Apple validerte alle de syv sårbarhetene, og etter noen uker slapp en løsning for iOS- og macOS-kamerautnyttelsen. Sikkerhetsforskeren ble deretter betalt $75 000, som Pickren sa var hans første inntekt fra selskapet.
Sikkerhetsforsker Sean Wright fortalte Forbes at utnyttelsen som Pickren oppdaget, selv om den krevde at offeret besøkte en ondsinnet nettsted, var "en svært levedyktig form for angrep." Wright la til at sammenlignet med oppmerksomheten på webkameraer på datamaskiner, har det ikke vært mye fokus på kameraene og mikrofonene til mobiltelefoner, som han sa er "en langt mer sannsynlig rute" for angripere hvis de ønsker å avlytte deres mål.
Bug dusører
Bug bounty-programmer gir insentiver til sikkerhetsforskere for å hjelpe teknologiselskaper med å finne sårbarheter i programvaren deres, i stedet for at utnyttelsene faller i hendene på ondsinnede hackere.
Apple, som lanserte et bug bounty-program i 2016, gjorde endringer i august 2019 som inkluderte tillegg av en 1 million dollar i belønning for hackere som kan starte et "null-klikks fullkjede kjerneutførelsesangrep med utholdenhet." I desember 2019 ble programmet endelig utvidet til å ta imot innleveringer for macOS-feil.
Apple-konkurrenten Google har også vært sjenerøs med sitt bug bounty-program, med en opp til 1,5 millioner dollar i belønning for "full kjede ekstern kjøring av kode med utholdenhet som kompromitterer Titan M-sikkerhetselementet på Pixel-enheter." I 2019 betalte Google totalt 6,5 millioner dollar i feilpremier, for totalt 21 millioner dollar siden programmet ble lansert i 2010.
Redaktørenes anbefalinger
- Denne skjulte Apple Watch-funksjonen er bedre enn jeg kunne ha forestilt meg
- Hvorfor du ikke kan bruke Apple Pay på Walmart
- Har du en iPhone, iPad eller Apple Watch? Du må oppdatere den akkurat nå
- 11 funksjoner i iOS 17 som jeg gleder meg til å bruke på iPhone
- Apple fikset endelig mitt største problem med iPhone 14 Pro Max
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
