Apple виплатила 75 тисяч доларів хакеру, який виявив експлойти, які дозволили йому викрасти камери iPhone і Mac.
Дослідник безпеки та колишній інженер безпеки Amazon Web Services Райан Пікрен розкрито принаймні сім уразливостей нульового дня в Safari для Apple, згідно з Forbes. Три з цих уразливостей можуть бути використані для викрадення камер пристроїв iOS і macOS.
Рекомендовані відео
Експлойт вимагав від жертв відвідати шкідливий веб-сайт, який потім міг отримати доступ до камери їхнього пристрою, якщо він раніше довіряв службі відеоконференцій, такій як Zoom.
Пов'язані
- Apple може зіткнутися з «серйозною» нестачею iPhone 15 через проблему виробництва, йдеться у звіті
- Я сподіваюся, що Apple принесе цю функцію Vision Pro на iPhone
- 6 найбільших функцій iOS 17, які Apple вкрала в Android
«Така помилка показує, чому користувачі ніколи не повинні відчувати повну впевненість у безпеці своєї камери, — сказав Пікрен Forbes, — незалежно від операційної системи чи виробника».
Пікрен повідомив Apple про своє відкриття в середині грудня 2019 року. Apple перевірила всі сім уразливостей і через кілька тижнів випустила виправлення для експлойту камери iOS і macOS. Після цього досліднику безпеки заплатили 75 000 доларів, що, за словами Пікрена, було його першим прибутком у компанії.
Дослідник безпеки Шон Райт сказав Forbes, що експлойт, який виявив Пікрен, навіть якщо він вимагав від жертви відвідування зловмисного веб-сайт, був «дуже життєздатною формою атаки». Райт додав, що порівняно з увагою до веб-камер у комп’ютерах, їх було небагато зосередитися на камерах і мікрофонах мобільних телефонів, що, за його словами, є «набагато більш ймовірним шляхом» для зловмисників, якщо вони хочуть підслухати їхні цілі.
Нагороди за помилки
Програми винагород за помилки заохочують дослідників безпеки допомагати технологічним компаніям знаходити вразливості у своєму програмному забезпеченні замість того, щоб експлойти потрапляли в руки зловмисних хакерів.
Apple, яка запустила програму винагороди за помилки в 2016 році, внесла зміни в серпні 2019 року, які включали додавання Винагорода в 1 мільйон доларів для хакерів, які можуть запустити «атаку повного ланцюжка виконання ядра нульовим клацанням з наполегливістю». У грудні 2019 року програму було нарешті розширено, щоб приймати заявки на помилки macOS.
Конкурент Apple, Google, також був щедрим на свою програму винагороди за помилки, до Винагорода 1,5 мільйона доларів за «експлойт віддаленого виконання повного ланцюга коду з наполегливістю, який компрометує елемент безпеки Titan M на пристроях Pixel». У 2019 році Google заплатив загалом 6,5 мільйонів доларів винагород за помилки на загальну суму 21 мільйон доларів з моменту запуску програми в 2010 році.
Рекомендації редакції
- Ця прихована функція Apple Watch краща, ніж я міг собі уявити
- Чому ви не можете використовувати Apple Pay у Walmart
- Маєте iPhone, iPad або Apple Watch? Вам потрібно оновити його прямо зараз
- 11 функцій в iOS 17, які я не можу дочекатися, щоб використовувати на своєму iPhone
- Apple нарешті вирішила мою найбільшу проблему з iPhone 14 Pro Max
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
