Apple on kõrvaldanud mitmeid tõsiseid vigu, mis võimaldasid iPhone'i kaamera kaaperdada.
Häkker Ryan Pickren avastas haavatavused Safaris üsna intensiivse veaotsingu käigus. Talle maksti 75 000 dollarit Apple'i veapreemiaprogramm tema pingutuste eest.
iOS -i peetakse kõige turvalisemaks mobiilseks operatsioonisüsteemiks. Apple on aastaid kaitset tugevdanud, tagamaks, et iPhone'i ja iPadi kasutajad ei pea muretsema oma seadmete ekspluateerimise ja nende andmete ohtu sattumise pärast.
Kuid nagu tarkvara puhul sageli juhtub, leidub siiski haavatavusi, mida ei avastata. Pickren leidis Safarist vähemalt seitse, millest kolm võimaldasid pahatahtliku koodi abil kaaperdada iPhone'i kaamera.
Safari vead võimaldavad iPhone'i kaamerale juurdepääsu
Nullpäevaseid turvaauke võiks kasutada kaamera ja mikrofoni loa andmiseks kõigile, kes teadsid, kuidas neid ära kasutada. Kõik, mida nad pidid tegema, oli veenda iPhone'i kasutajat pahatahtlikku veebisaiti külastama.
„Selline viga näitab, miks kasutajad ei peaks kunagi sõltumata operatsioonisüsteemist või tootjast olema täiesti kindlad, et nende kaamera on turvaline,” selgitas Pickren.
Forbes.Haavatavused avastati mullu detsembris, kui Pickren otsustas brauserit „varjata ebaselgete nurgakarpidega”, kuni avastati kummaline käitumine. Ta keskendus kaamera turvalisusele, hoolimata sellest, et see on uskumatult tugev.
Ei läinud kaua aega enne seitset viga (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 ja CVE-2020-) 9787).
Apple pakub kiiret lahendust
Pickren teatas oma avastustest Apple'ile ja kolm kõige tõsisemat haavatavust - need, mis võimaldasid kaamerale juurdepääsu - parandati jaanuari lõpus Safari 13.0.5 värskendusega.
Muud, vähem tõsised vead parandati Safari 13.1 -s, mis ilmus 24. märtsil.
Tema jõupingutuste eest anti Pickrenile 75 000 dollarit. Ta ütles, et talle väga meeldis nendes küsimustes koostööd teha Apple'i toote turvameeskonnaga ning ta kavatseb raha suunata uute toodete ostmiseks ja uute vigade otsimiseks.
"Mul on väga hea meel, et Apple võttis julgeolekuuuringute kogukonna abi kasutusele," lisas Pickren.