Hackare har vanligtvis ett dåligt rykte, men utan dem skulle många säkerhetsproblem förbli oupptäckta. Detta bevisades av Ryan Pickren, en doktorand inom cybersäkerhet. student vid Georgia Institute of Technology.
Pickren hittade en farlig sårbarhet på Apple Mac-enheter som gav obehörig åtkomst till kameran. Han rapporterade det till Apple, och för sitt bidrag fick han en rekordbelöning på $100 500.
Hackaren beskrev hackningsprocessen i en långt blogginlägg, gå in i detalj om hur han kunde uppnå slutresultatet. Buggarna kretsar kring att utnyttja problem med iCloud Sharing och webbläsaren Safari 15. Även om problemet kan verka situationsanpassat och osannolikt att replikeras, är allt som krävs en sårbarhet för en hackare att få kontroll över en persons enhet.
Rekommenderade videor
Sårbarheten började med en iCloud delningsapp som heter ShareBear. Genom ShareBear kan användare ge åtkomst till varandra för att sömlöst dela dokument. När användaren accepterade en inbjudan att dela en viss fil med en annan person, kom Mac ihåg denna behörighet och bad aldrig om den igen. Tyvärr, även om detta verkar vara en trevlig livskvalitetsfunktion vid första anblicken, kan det resultera i utnyttjande.
Eftersom filen lagras i molnet och inte lokalt, kan den bytas ut när som helst efter att tillstånd har beviljats. Detta kan resultera i att en enkel bild eller textfil förvandlas till en körbar fil med skadlig kod. Pickren använde denna exploatering för att ändra filtyper och få full tillgång till användarens Mac.
Pickren sa på sin webbplats: "Även om det här felet kräver att offret klickar på "öppna" på en popup från min webbplats, resulterar det i mer än bara kapning av multimediatillstånd. Den här gången ger buggen angriparen full tillgång till alla webbplatser som offret någonsin besökt. Det betyder att förutom att slå på din kamera kan min bugg även hacka din iCloud, PayPal, Facebook, Gmail osv. konton också."
Filen, när den väl nås via ShareBear, kan fjärrlanseras när som helst utan ytterligare uppmaning. Som Pickren förklarar, öppnar detta förvisso dörren till ett potentiellt mycket farligt hack, vilket ger full åtkomst till Macen i fråga.
Apple har fixat buggen i MacOS Monterey 12.0.1 (lanserades den 25 oktober 2021) efter att Pickren rapporterade det i juli. Hans pris på 100 500 dollar är, enligt Pickren, den högsta Apple någonsin erbjudit genom sitt säkerhetsprogram. Apple har också nyligen fixade en annan kritisk bugg, den här gången med WebKit.
Detta var inte Pickrens första Apple hacking rodeo. Under 2019 kunde han hacka sig in i iPhone-kameran och mikrofonen och avslöjade ett antal farliga sårbarheter i Apples kod. Apple belönade honom generöst för hans ansträngningar och gav honom $75 000 i utbyte för att han hittade och rapporterade felen.
Redaktörens rekommendationer
- Stor läcka avslöjar alla hemligheter som Mac Apple arbetar med
- Här är anledningen till att Apples M3 MacBook-chip kan förstöra sina konkurrenter
- Apples $600 M2 Mac mini utplånar $6 000 Mac Pro
- Apple tillkännager nya MacBook Pro med M2 Pro och M2 Max chips
- Här är vad vi vet om de massiva Mac-lanseringar som Apple har planerat för 2023
Uppgradera din livsstilDigitala trender hjälper läsarna att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
