Apple udelil 75 000 dolárov hackerovi, ktorý objavil zneužitie, ktoré mu umožnilo uniesť fotoaparáty iPhonov a Macov.
Bezpečnostný výskumník a bývalý bezpečnostný inžinier Amazon Web Services Ryan Pickren zverejnené najmenej sedem zero-day zraniteľností v Safari pre Apple, podľa Forbes. Tri z týchto zraniteľností môžu byť použité na únos kamier zariadení iOS a macOS.
Odporúčané videá
Toto zneužitie vyžadovalo, aby obete navštívili škodlivú webovú stránku, ktorá by potom mohla získať prístup k fotoaparátu ich zariadenia, ak predtým dôverovala videokonferenčnej službe, ako je napríklad Zoom.
Súvisiace
- Apple môže čeliť „vážnemu“ nedostatku iPhonu 15 kvôli problémom s výrobou, uvádza správa
- Dúfam, že Apple prinesie túto funkciu Vision Pro na iPhone
- 6 najväčších funkcií iOS 17, ktoré Apple ukradol z Androidu
„Chyba, ako je táto, ukazuje, prečo by si používatelia nikdy nemali byť úplne istí, že ich fotoaparát je bezpečný,“ povedal Pickren pre Forbes, „bez ohľadu na operačný systém alebo výrobcu.
Pickren informoval Apple o svojom objave v polovici decembra 2019. Apple overil všetkých sedem zraniteľností a po niekoľkých týždňoch vydal opravu pre zneužitie fotoaparátu iOS a macOS. Bezpečnostnému výskumníkovi potom zaplatili 75 000 dolárov, čo bol podľa Pickrena jeho prvý zárobok zo spoločnosti.
Bezpečnostný výskumník Sean Wright povedal Forbesu, že zneužitie, ktoré objavil Pickren, aj keď to vyžadovalo, aby obeť navštívila škodlivý webová stránka, bola „veľmi životaschopnou formou útoku“. Wright dodal, že v porovnaní s pozornosťou na webové kamery v počítačoch toho nebolo veľa zamerať sa na kamery a mikrofóny mobilných telefónov, čo je podľa neho „oveľa pravdepodobnejšia cesta“ pre útočníkov, ak chcú odpočúvať ich ciele.
Odmeny za chyby
Programy odmeňovania chýb poskytujú bezpečnostným výskumníkom stimuly, aby pomohli technologickým spoločnostiam nájsť zraniteľné miesta v ich softvéri, namiesto toho, aby sa exploity dostali do rúk škodlivých hackerov.
Spoločnosť Apple, ktorá v roku 2016 spustila program bug bounty, vykonala v auguste 2019 zmeny, ktoré zahŕňali pridanie odmena 1 milión dolárov pre hackerov, ktorí by mohli s vytrvalosťou spustiť „útok s úplným reťazovým spustením jadra s nulovým kliknutím“. V decembri 2019 bol program konečne rozšírený o prijímanie príspevkov pre chyby macOS.
Konkurent spoločnosti Apple, Google, bol tiež veľkorysý so svojím programom odmeny za chyby, a to až do výšky odmena 1,5 milióna dolárov za „využívanie úplného reťazca vzdialeného spúšťania kódu s vytrvalosťou, ktoré ohrozuje bezpečnostný prvok Titan M na zariadeniach Pixel.“ V roku 2019 zaplatil Google celkom 6,5 milióna dolárov v odmenách za chyby v celkovej výške 21 miliónov dolárov od spustenia programu v roku 2010.
Odporúčania redaktorov
- Táto skrytá funkcia Apple Watch je lepšia, ako som si dokázal predstaviť
- Prečo nemôžete používať Apple Pay vo Walmarte
- Máte iPhone, iPad alebo Apple Watch? Okamžite ho musíte aktualizovať
- 11 funkcií v systéme iOS 17, ktorých použitie na mojom iPhone sa nemôžem dočkať
- Apple konečne vyriešil môj najväčší problém s iPhone 14 Pro Max
Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.
