Хакери зазвичай мають погану репутацію, але без них багато проблем із безпекою залишилися б непоміченими. Це довів Раян Пікрен, доктор філософії з кібербезпеки. студент Технологічного інституту Джорджії.
Пікрен знайшов небезпечну вразливість на пристроях Apple Mac, яка дозволяла несанкціонований доступ до камери. Він повідомив про це Apple, і за свій внесок йому виплатили рекордну винагороду в 100 500 доларів.
Хакер описав процес злому в a довгий допис у блозі, детально описуючи, як він зміг досягти кінцевого результату. Помилки пов’язані з використанням проблем із iCloud Sharing і браузером Safari 15. Хоча проблема може здаватися ситуативною та навряд чи повториться, хакеру потрібна лише одна вразливість, щоб отримати контроль над пристроєм людини.
Рекомендовані відео
Уразливість почалася з an iCloud програма для обміну під назвою ShareBear. Через ShareBear користувачі можуть надавати доступ один одному, щоб безперешкодно обмінюватися документами. Після того, як користувач прийняв запрошення поділитися певним файлом з іншою особою, Mac запам’ятав цей дозвіл і більше ніколи не запитував його. На жаль, хоча на перший погляд це здається гарною функцією підвищення якості життя, вона може призвести до експлойтів.
Оскільки файл зберігається в хмарі, а не локально, його можна замінити в будь-який час після надання дозволу. Це може призвести до перетворення простого зображення або текстового файлу на виконуваний файл зі шкідливим кодом. Пікрен використовував цей експлойт для зміни типів файлів і отримання повного доступу до файлів користувача Мак.
Пікрен сказав на своєму веб-сайті: «Хоча ця помилка вимагає від жертви натиснути кнопку «Відкрити» у спливаючому вікні з мого веб-сайту, це призводить до більш ніж простого викрадення дозволу мультимедіа. Цього разу помилка надає зловмиснику повний доступ до кожного сайту, який коли-небудь відвідувала жертва. Це означає, що окрім увімкнення вашої камери, мій жучок може також зламати ваш iCloud, PayPal, Facebook, Gmail тощо. облікові записи теж».
Після доступу до файлу через ShareBear його можна віддалено запустити в будь-який момент без додаткових запитів. Як пояснює Пікрен, це, безумовно, відкриває двері для потенційно дуже небезпечного злому, надаючи повний доступ до відповідного Mac.
Apple виправила помилку в MacOS Monterey 12.0.1 (запущена 25 жовтня 2021 року) після того, як Pickren повідомив про це в липні. Його винагорода в 100 500 доларів, за словами Пікрена, є найвищою винагородою, яку Apple коли-небудь пропонувала за свою програму безпеки. Apple також нещодавно виправлено ще одну критичну помилку, цього разу за участю WebKit.
Це було не перше хакерське родео Apple Pickren. У 2019 році йому вдалося зламати камеру та мікрофон iPhone, виявивши низку небезпечних уразливостей у коді Apple. Apple щедро винагородила його за його зусилля, давши йому 75 000 доларів США в обмін на виявлення та повідомлення про помилки.
Рекомендації редакції
- Великий витік розкриває всі секрети Mac, над якими працює Apple
- Ось чому чіп Apple M3 MacBook може знищити своїх конкурентів
- M2 Mac mini від Apple за 600 доларів знищує Mac Pro за 6000 доларів
- Apple анонсує новий MacBook Pro з процесорами M2 Pro і M2 Max
- Ось що ми знаємо про масові випуски Mac, які Apple запланувала на 2023 рік
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
