Apple zahlte einem Cybersicherheitsstudenten eine rekordverdächtige Bug-Prämie von 105.000 US-Dollar. Wieso den? Er zeigte dem Unternehmen, wie das Hacken seiner Webcams die Geräte vollständig anfällig für weitere Angriffe machen kann.
Mac-Webcam-Hack: Probleme mit Safari und iCloud
Student Ryan Pickren, der zuvor hat eine Sicherheitslücke in iPhone- und Mac-Kameras entdeckt, sagte, dass die neue Webcam-Schwachstelle eine Reihe von Problemen mit Safari und iCloud betraf. Die Lücken, die jetzt von Apple gepatcht wurden, könnten dazu führen, dass bösartige Websites Angriffe starten.
Pickren weiter erklärt Das Problem würde einem Angreifer vollen Zugriff auf alle webbasierten Konten geben, einschließlich großer Dienste wie Gmail, iCloud und PayPal. Es würde auch die Erlaubnis zur Verwendung des Mikrofons, der Kamera und der Bildschirmfreigabe ermöglichen. Die Verwendung der Kamera könnte jedoch nicht unentdeckt bleiben, da die grüne Kontrollleuchte wie gewohnt leuchten würde.
Vollständiger Zugriff auf das Dateisystem
Pickren bemerkte, dass ein solcher Hack einem Angreifer uneingeschränkten Zugriff auf das vollständige Dateisystem eines Geräts geben könnte. Der Schlüssel besteht darin, die „Webarchive“-Dateien von Safari auszunutzen. Das ist das System, das der Browser verwendet, um lokale Kopien von Websites zu speichern.
„Ein überraschendes Merkmal dieser Dateien ist, dass sie den Webursprung angeben, in dem der Inhalt gerendert werden soll“, schrieb Pickren. „Dies ist ein großartiger Trick, um Safari den Kontext der gespeicherten Website wiederherstellen zu lassen, aber wie die Metasploit-Autoren bereits darauf hingewiesen haben im Jahr 2013, wenn ein Angreifer diese Datei irgendwie modifizieren kann, könnte er effektiv UXSS [universal cross-site scripting] durch erreichen Entwurf."
Für einen erfolgreichen Exploit muss ein Hacker eine solche Webarchivdatei herunterladen – und auch öffnen. Pickren schlug vor, dass Apple es deshalb für ein unwahrscheinliches Hacking-Szenario hielt, als es das Webarchiv von Safari zum ersten Mal einrichtete.
„Zugegeben, diese Entscheidung wurde vor fast einem Jahrzehnt getroffen, als das Browser-Sicherheitsmodell noch nicht annähernd so ausgereift war wie heute“, sagte Pickren. „Vor Safari 13 wurden dem Benutzer nicht einmal Warnungen angezeigt, bevor eine Website beliebige Dateien heruntergeladen hat. Das Einfügen der Webarchivdatei war also einfach.“
Apple zahlte 100.500 Dollar aus
Apple äußerte sich nicht zu dem Fehler, einschließlich der Frage, ob ihn jemand vor oder nach seiner Entdeckung ausgenutzt hat. Aber der Tech-Riese Cupertino zahlte Pickren 100.500 Dollar aus seinem Bug-Bounty-Programm. Das sind 500 $ mehr als zuvor gemeldete Auszahlungen.
Das Programm kann Prämie bis zu 1 Million US-Dollar. Apple veröffentlicht eine Liste mit Höchstbeträgen pro gemeldeter Sicherheitsproblemkategorie. Sicherheitsexperten müssen ihre Prämienbeträge nicht offenlegen.
Allerdings könnte Apple irgendwann mehr als die 100.500 US-Dollar für Pickren ausgezahlt haben. In der Vergangenheit warfen Kritiker dem Unternehmen vor, seine eigenen maximalen Auszahlungsbeträge unterschritten zu haben – wenn auch nicht immer – und dafür, dass es manchmal langsam ist, Sicherheitslücken zu patchen.