Apple je hekerju, ki je odkril podvige, ki so mu omogočili ugrabitev kamer v iPhonih in Macih, podelil 75.000 dolarjev.
Varnostni raziskovalec in nekdanji varnostni inženir Amazon Web Services Ryan Picken razkrito vsaj sedem zero-day ranljivosti v Safariju za Apple, glede na Forbes. Tri od teh ranljivosti se lahko uporabijo za ugrabitev kamer naprav iOS in macOS.
Priporočeni videoposnetki
Izkoriščanje je od žrtev zahtevalo obisk zlonamerne spletne strani, ki je nato lahko dostopala do kamere njihove naprave, če je prej zaupala videokonferenčni storitvi, kot je Zoom.
Povezano
- Poročilo pravi, da se bo Apple morda soočil z "hudim" pomanjkanjem iPhona 15 zaradi težav s proizvodnjo
- Upam, da bo Apple prinesel to funkcijo Vision Pro v iPhone
- 6 največjih funkcij iOS 17, ki jih je Apple ukradel Androidu
"Takšen hrošč kaže, zakaj uporabniki nikoli ne bi smeli biti popolnoma prepričani, da je njihova kamera varna," je za Forbes povedal Picken, "ne glede na operacijski sistem ali proizvajalca."
Pickren je Apple obvestil o svojem odkritju sredi decembra 2019. Apple je potrdil vseh sedem ranljivosti in po nekaj tednih izdal popravek za izkoriščanje kamere iOS in macOS. Varnostni raziskovalec je bil nato plačan 75.000 dolarjev, kar je bil po Pickrenovih besedah njegov prvi zaslužek v podjetju.
Varnostni raziskovalec Sean Wright je za Forbes povedal, da je izkoriščanje, ki ga je odkril Pickren, tudi če je zahtevalo, da žrtev obišče zlonamerno spletno mesto, je bila "zelo uspešna oblika napada." Wright je dodal, da v primerjavi s pozornostjo na spletnih kamerah v računalnikih ni bilo veliko osredotočil na kamere in mikrofone mobilnih telefonov, kar je po njegovih besedah "veliko bolj verjetna pot" za napadalce, če želijo prisluškovati njihove tarče.
Nagrade za napake
Programi nagrajevanja hroščev dajejo spodbude varnostnim raziskovalcem, da pomagajo tehnološkim podjetjem najti ranljivosti v njihovi programski opremi, namesto da izkoriščanja padejo v roke zlonamernih hekerjev.
Apple, ki je leta 2016 uvedel program nagrajevanja hroščev, je avgusta 2019 naredil spremembe, ki so vključevale dodatek Nagrada 1 milijon dolarjev za hekerje, ki bi lahko sprožili "napad z izvajanjem jedra v celotni verigi brez klika z vztrajnostjo." Decembra 2019 je bil program končno razširjen tako, da sprejema prijave za hrošči macOS.
Applov tekmec Google je bil prav tako radodaren s svojim programom nagrajevanja hroščev, z do Nagrada 1,5 milijona dolarjev za "izkoriščanje oddaljenega izvajanja kode v celotni verigi z obstojnostjo, ki ogroža varnostni element Titan M v napravah Pixel." V letu 2019 je Google plačal skupno 6,5 milijona dolarjev v nagradah za hrošče, za skupno 21 milijonov dolarjev od uvedbe programa leta 2010.
Priporočila urednikov
- Ta skrita funkcija Apple Watch je boljša, kot sem si lahko predstavljal
- Zakaj ne morete uporabljati Apple Pay v Walmartu
- Imate iPhone, iPad ali Apple Watch? Takoj ga morate posodobiti
- 11 funkcij v iOS 17, ki jih komaj čakam, da jih uporabim na svojem iPhoneu
- Apple je končno odpravil mojo največjo težavo z iPhonom 14 Pro Max
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
