У хакеров обычно плохая репутация, но без них многие проблемы безопасности остались бы незамеченными. Это доказал Райан Пикрен, доктор философии по кибербезопасности. студент Технологического института Джорджии.
Пикрен обнаружил опасную уязвимость на устройствах Apple Mac, которая обеспечивала несанкционированный доступ к камере. Он сообщил об этом Apple, и за свой вклад ему заплатили рекордную награду в размере 100 500 долларов.
Хакер описал процесс взлома в длинный пост в блоге, подробно рассказывая о том, как ему удалось достичь конечного результата. Ошибки связаны с использованием проблем с общим доступом iCloud и браузером Safari 15. Хотя проблема может показаться ситуативной и вряд ли повторится, хакеру достаточно одной уязвимости, чтобы получить контроль над устройством человека.
Рекомендуемые видео
Уязвимость началась с iCloud приложение для обмена файлами под названием ShareBear. Через ShareBear пользователи могут предоставлять доступ друг другу для беспрепятственного обмена документами. Как только пользователь принял приглашение поделиться определенным файлом с другим человеком, Mac запомнил это разрешение и больше никогда его не запрашивал. К сожалению, хотя на первый взгляд это кажется хорошей функцией качества жизни, это может привести к эксплойтам.
Поскольку файл хранится в облаке, а не локально, его можно заменить в любое время после получения разрешения. Это может привести к тому, что простой изображение или текстовый файл превратится в исполняемый файл с вредоносным кодом. Пикрен использовал этот эксплойт для изменения типов файлов и получения полного доступа к данным пользователя. Мак.
Пикрен заявил на своем веб-сайте: «Хотя эта ошибка требует, чтобы жертва нажала кнопку «Открыть» во всплывающем окне с моего веб-сайта, это приводит к чему-то большему, чем просто перехвату разрешений на мультимедиа. На этот раз ошибка дает злоумышленнику полный доступ ко всем веб-сайтам, которые когда-либо посещала жертва. Это означает, что моя ошибка не только включает вашу камеру, но и может взломать ваш iCloud, PayPal, Фейсбук, Gmail и т. д. счета тоже».
Файл, доступ к которому осуществляется через ShareBear, может быть запущен удаленно в любой момент без дополнительных запросов. Как объясняет Пикрен, это, безусловно, открывает дверь для потенциально очень опасного взлома, предоставляя полный доступ к рассматриваемому Mac.
Apple исправила ошибку в MacOS Monterey 12.0.1 (выпущенной 25 октября 2021 г.) после того, как Пикрен сообщил о ней в июле. По словам Пикрена, его вознаграждение в размере 100 500 долларов является самой высокой суммой, которую Apple когда-либо предлагала в рамках своей программы безопасности. Apple также недавно исправлена еще одна критическая ошибка, на этот раз с использованием WebKit.
Это было не первое хакерское родео Пикрена для Apple. В 2019 году он смог взломать камеру и микрофон iPhone, обнажив ряд опасных уязвимостей в коде Apple. Apple щедро вознаградила его за усилия, предоставив ему 75 000 долларов в обмен на обнаружение и сообщение об ошибках.
Рекомендации редакции
- Крупная утечка раскрывает все секреты Mac, над которыми работает Apple
- Вот почему чип Apple M3 MacBook может уничтожить своих конкурентов
- Mac mini M2 от Apple за 600 долларов вытесняет Mac Pro за 6000 долларов
- Apple анонсирует новый MacBook Pro с чипами M2 Pro и M2 Max
- Вот что мы знаем о массовых запусках Mac, которые Apple запланировала на 2023 год
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.
