Apple tilldelade 75 000 dollar till en hacker som upptäckte bedrifter som gjorde det möjligt för honom att kapa kameror på iPhone och Mac.
Säkerhetsforskaren och tidigare Amazon Web Services säkerhetsingenjör Ryan Pickren avslöjats minst sju nolldagarssårbarheter i Safari till Apple, enligt Forbes. Tre av dessa sårbarheter kan användas för att kapa kamerorna på iOS- och macOS-enheter.
Rekommenderade videor
Exploateringen krävde att offren besökte en skadlig webbplats, som sedan kunde komma åt enhetens kamera om den tidigare hade litat på en videokonferenstjänst som Zoom.
Relaterad
- Apple kan möta "allvarlig" iPhone 15-brist på grund av produktionsproblem, säger rapporten
- Jag hoppas att Apple tar med sig denna Vision Pro-funktion till iPhone
- De 6 största iOS 17-funktionerna som Apple stal från Android
"En bugg som denna visar varför användare aldrig ska känna sig helt säkra på att deras kamera är säker," sa Pickren till Forbes, "oavsett operativsystem eller tillverkare."
Pickren informerade Apple om sin upptäckt i mitten av december 2019. Apple validerade alla sju sårbarheterna och släppte efter några veckor en fix för iOS- och macOS-kameramissbruket. Säkerhetsforskaren betalades sedan 75 000 dollar, vilket Pickren sa var hans första inkomst från företaget.
Säkerhetsforskaren Sean Wright sa till Forbes att det utnyttjande som Pickren upptäckte, även om det krävde att offret besökte en skadlig webbplats, var "en mycket livskraftig form av attack." Wright tillade att jämfört med uppmärksamheten på webbkameror i datorer har det inte varit mycket fokusera på kameror och mikrofoner i mobiltelefoner, som han sa är "en mycket mer trolig väg" för angripare om de vill avlyssna sina mål.
Buggpremier
Bug bounty-program ger incitament till säkerhetsforskare att hjälpa teknikföretag att hitta sårbarheter i deras programvara, istället för att utnyttjandet faller i händerna på illvilliga hackare.
Apple, som lanserade ett bug-bounty-program 2016, gjorde ändringar i augusti 2019 som inkluderade tillägget av en 1 miljon dollar i belöning för hackare som skulle kunna starta en "nollklicks-attack med hela kedjan kärnexekvering med uthållighet." I december 2019 utökades programmet äntligen för att ta emot bidrag för macOS-buggar.
Apple-konkurrenten Google har också varit generös med sitt bug-bounty-program, med en upp till 1,5 miljoner dollar i belöning för "exploatering av fullständig kedja av fjärrkod med uthållighet som äventyrar det säkra Titan M-elementet på Pixel-enheter." Under 2019 betalade Google totalt 6,5 miljoner dollar i buggpremier, för totalt 21 miljoner dollar sedan programmet lanserades 2010.
Redaktörens rekommendationer
- Den här dolda Apple Watch-funktionen är bättre än jag kunde ha föreställt mig
- Varför du inte kan använda Apple Pay på Walmart
- Har du en iPhone, iPad eller Apple Watch? Du måste uppdatera den nu
- 11 funktioner i iOS 17 som jag inte kan vänta med att använda på min iPhone
- Apple fixade äntligen mitt största problem med iPhone 14 Pro Max
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
