Hackere har vanligvis et dårlig rykte, men uten dem ville mange sikkerhetsproblemer forbli uoppdaget. Dette ble bevist av Ryan Pickren, en cybersikkerhets Ph.D. student ved Georgia Institute of Technology.
Pickren fant en farlig sårbarhet på Apple Mac-enheter som ga uautorisert kameratilgang. Han rapporterte det til Apple, og for sitt bidrag fikk han en rekordstor dusør på $100 500.
Hackeren beskrev hackingprosessen i en langt blogginnlegg, og går i detalj om hvordan han klarte å oppnå sluttresultatet. Feilene dreier seg om å utnytte problemer med iCloud-deling og Safari 15-nettleseren. Selv om problemet kan virke situasjonsbestemt og usannsynlig å bli replikert, er alt som skal til en sårbarhet for at en hacker skal få kontroll over en persons enhet.
Anbefalte videoer
Sårbarheten begynte med en iCloud delingsapp kalt ShareBear. Gjennom ShareBear kan brukere gi tilgang til hverandre for å sømløst dele dokumenter. Når brukeren godtok en invitasjon om å dele en bestemt fil med en annen person, husket Mac denne tillatelsen og ba aldri om den igjen. Dessverre, selv om dette virker som en fin funksjon for livskvalitet ved første øyekast, kan det resultere i utnyttelser.
Siden filen er lagret på skyen og ikke lokalt, kan den byttes når som helst etter at tillatelsen er gitt. Dette kan resultere i at et enkelt bilde eller en tekstfil blir omgjort til en kjørbar fil med ondsinnet kode. Pickren brukte denne utnyttelsen til å endre filtyper og få full tilgang til brukerens Mac.
Pickren sa på nettstedet sitt: "Selv om denne feilen krever at offeret klikker 'åpne' på en popup fra nettstedet mitt, resulterer det i mer enn bare kapring av multimedietillatelser. Denne gangen gir feilen angriperen full tilgang til alle nettsider som noen gang er besøkt av offeret. Det betyr at i tillegg til å slå på kameraet ditt, kan min feil også hacke iCloud, PayPal, Facebook, Gmail osv. kontoer også."
Filen, når den er åpnet via ShareBear, kan fjernstartes når som helst uten ytterligere spørsmål. Som Pickren forklarer, åpner dette absolutt døren til et potensielt svært farlig hack, som gir full tilgang til den aktuelle Mac-en.
Apple har fikset feilen i MacOS Monterey 12.0.1 (lansert 25. oktober 2021) etter at Pickren rapporterte det i juli. Hans dusør på 100 500 dollar er, ifølge Pickren, den høyeste Apple noensinne har tilbudt gjennom sitt sikkerhetsprogram. Apple har også nylig fikset en annen kritisk feil, denne gangen involverer WebKit.
Dette var ikke Pickrens første Apple hacking rodeo. I 2019 var han i stand til å hacke seg inn i iPhone-kameraet og mikrofonen, og avslørte en rekke farlige sårbarheter i Apples kode. Apple belønnet ham sjenerøst for innsatsen, og ga ham 75 000 dollar i retur for å finne og rapportere feilene.
Redaktørenes anbefalinger
- Stor lekkasje avslører hver eneste hemmelige Mac Apple jobber med
- Her er grunnen til at Apples M3 MacBook-brikke kan ødelegge sine rivaler
- Apples $600 M2 Mac mini utsletter $6000 Mac Pro
- Apple kunngjør nye MacBook Pro med M2 Pro- og M2 Max-brikker
- Her er det vi vet om de massive Mac-lanseringene Apple har planlagt for 2023
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
