Hekerji so običajno na slabem glasu, a brez njih bi številne varnostne težave ostale neodkrite. To je dokazal Ryan Pickren, doktor znanosti s področja kibernetske varnosti. študent na Georgia Institute of Technology.
Pickren je našel nevarno ranljivost na napravah Apple Mac, ki je omogočala nepooblaščen dostop do kamere. Prijavil ga je Applu in za svoj prispevek je prejel rekordno nagrado v višini 100.500 dolarjev.
Heker je postopek vdora opisal v a dolga objava na blogu, s podrobnostmi o tem, kako mu je uspelo doseči končni rezultat. Napake se vrtijo okoli izkoriščanja težav z iCloud Sharing in brskalnikom Safari 15. Čeprav se morda zdi težava situacijska in je malo verjetno, da se bo ponovila, je dovolj, da heker pridobi nadzor nad napravo osebe, le ena ranljivost.
Priporočeni videoposnetki
Ranljivost se je začela z an iCloud aplikacijo za skupno rabo, imenovano ShareBear. Prek ShareBear lahko uporabniki drug drugemu odobrijo dostop za nemoteno skupno rabo dokumentov. Ko je uporabnik sprejel povabilo za skupno rabo določene datoteke z drugo osebo, si je Mac to dovoljenje zapomnil in ga nikoli več ni prosil. Na žalost, čeprav se to na prvi pogled zdi dobra funkcija za kakovost življenja, lahko povzroči podvige.
Ker je datoteka shranjena v oblaku in ne lokalno, jo je mogoče zamenjati kadar koli po podelitvi dovoljenja. To lahko povzroči, da se preprosta slikovna ali besedilna datoteka spremeni v izvršljivo datoteko z zlonamerno kodo. Pickren je s tem izkoriščanjem spremenil vrste datotek in pridobil popoln dostop do uporabnikovih Mac.
Pickren je na svojem spletnem mestu dejal: »Čeprav ta hrošč zahteva, da žrtev klikne 'odpri' v pojavnem oknu mojega spletnega mesta, povzroči več kot le ugrabitev večpredstavnostnih dovoljenj. Tokrat hrošč omogoča napadalcu popoln dostop do vseh spletnih mest, ki jih je kdaj obiskala žrtev. To pomeni, da lahko moj hrošč poleg vklopa vaše kamere vdre tudi v vaš iCloud, PayPal, Facebook, Gmail itd. tudi računi."
Datoteko, do katere dostopate prek ShareBear, lahko kadar koli zaženete na daljavo brez nadaljnjega poziva. Kot pojasnjuje Pickren, to zagotovo odpira vrata potencialno zelo nevarnemu vdoru, ki omogoča popoln dostop do zadevnega Maca.
Apple je odpravil napako v MacOS Monterey 12.0.1 (predstavljen 25. oktobra 2021), potem ko jo je Pickren prijavil julija. Njegova nagrada v višini 100.500 $ je po Pickrenovih besedah najvišja nagrada, ki jo je Apple kadarkoli ponudil prek svojega varnostnega programa. Pred kratkim je tudi Apple popravljena še ena kritična napaka, ki tokrat vključuje WebKit.
To ni bil prvi Pickrenov hekerski rodeo. Leta 2019 mu je uspelo vdreti v kamero in mikrofon iPhona ter razkriti številne nevarne ranljivosti v Applovi kodi. Apple ga je velikodušno nagradil za njegov trud in mu dal 75.000 dolarjev v zameno za iskanje in prijavo hroščev.
Priporočila urednikov
- Veliko uhajanje razkriva vse skrivnosti Maca, na katerih dela Apple
- Evo, zakaj bi lahko Applov čip M3 MacBook uničil svoje tekmece
- Applov M2 Mac mini za 600 $ izniči Mac Pro za 6000 $
- Apple napoveduje novi MacBook Pro s čipoma M2 Pro in M2 Max
- Tukaj je tisto, kar vemo o množičnih predstavitvah računalnikov Mac, ki jih je Apple načrtoval za leto 2023
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
