A Mac webkamera feltörését észlelő diák rekordnak számító 105 000 dolláros hibajutalomban részesül

Az Apple rekordmagasságú, 105 000 dolláros hibadíjat fizetett egy kiberbiztonsági hallgatónak. Miért? Bemutatta a cégnek, hogy webkameráinak feltörése hogyan teheti teljes mértékben sebezhetővé az eszközöket a további támadásokkal szemben.

Mac webkamera feltörése: Problémák a Safarival és az iClouddal

Ryan Pickren diák, aki korábban felfedezett egy iPhone és Mac kamera sebezhetőségét, az új webkamera biztonsági rése a Safari és az iCloud számos problémáját érinti. Az Apple által most kijavított hibák miatt a rosszindulatú webhelyek támadásokat indíthatnak el.

Pickren tovább magyarázta a probléma teljes hozzáférést biztosítana a támadónak az összes webalapú fiókhoz, beleértve az olyan nagy szolgáltatásokat, mint a Gmail, az iCloud és a PayPal. Ezenkívül lehetővé tenné a mikrofon, a kamera és a képernyő-megosztás használatát. A kamera használata azonban nem maradhat felfedezetlenül, mert a zöld jelzőfény a megszokott módon világít.

Teljes hozzáférés a fájlrendszerhez

Pickren megjegyezte, hogy egy ilyen feltöréssel a támadó korlátlanul hozzáférhet az eszköz teljes fájlrendszeréhez. A kulcs a Safari „webararchív” fájljainak kihasználása. Ez az a rendszer, amelyet a böngésző a webhelyek helyi másolatainak mentésére használ.

„E fájlok megdöbbentő jellemzője, hogy meghatározzák a webes eredetet, ahol a tartalomnak meg kell jelennie” – írta Pickren. „Ez egy fantasztikus trükk, amellyel a Safari újraépítheti a mentett webhely kontextusát, de ahogy a Metasploit szerzői rámutattak 2013-ban, ha egy támadó valahogy módosítani tudja ezt a fájlt, akkor hatékonyan elérheti az UXSS-t [univerzális webhelyek közötti scripting]. tervezés."

A sikeres kihasználáshoz a hackernek le kell töltenie egy ilyen webarchívum-fájlt – és meg is kell nyitnia. Pickren azt javasolta, hogy az Apple ezért tartotta valószínűtlen hackelési forgatókönyvnek, amikor először telepítette a Safari webarchívumát.

„Bizonyára ezt a döntést közel egy évtizede hozták meg, amikor a böngésző biztonsági modellje még közel sem volt olyan kiforrott, mint manapság” – mondta Pickren. „A Safari 13 előtt még semmilyen figyelmeztetés sem jelent meg a felhasználó számára, mielőtt egy webhely tetszőleges fájlokat töltött volna le. Így a webarchívum fájl elültetése egyszerű volt.”

Az Apple 100 500 dollárt fizetett ki

Az Apple nem kommentálta a hibát, beleértve azt sem, hogy valaki kihasználta-e azt a felfedezés előtt vagy után. De a cupertinoi technológiai óriás 100 500 dollárt fizetett Pickrennek a hibajavító programból. Ez 500 dollárral több, mint a korábban bejelentett kifizetések.

A program képes 1 millió dollárig terjedő díj. Az Apple közzéteszi a bejelentett biztonsági probléma kategóriánkénti maximális összegeinek listáját. A biztonsági szakértők nem kötelesek nyilvánosságra hozni a díjak összegét.

Ez azt jelenti, hogy az Apple valamikor többet fizetett, mint a 100 500 dollárt a Pickrenért. A múltban a kritikusok a céget azért sértették, mert alákínálta saját maximális kifizetési összegét – bár nem mindig - és azért, mert időnként lassú volt a biztonsági rések befoltozásában.

Legújabb blogbejegyzés

Az Apple elutasítja a Samsung Pay alkalmazást iOS -re
September 11, 2021

Az Apple elutasítja a Samsung Pay alkalmazást iOS -reA Samsung Pay nem fog megjelenni az iPhone -on.Fotó: SamsungA Samsung úgy döntött, hogy felhag...

Miért öli meg az új Apple TV az Xboxot vagy a Playstationt
September 11, 2021

Egy új jelentés a lehető legjobb betekintést nyújt nekünk a radikálisan javított Apple TV várhatóan a jövő hónapban kerül piacra, beleértve azt a t...

| Mac kultusz
September 11, 2021

A hordozható széf megvédi cuccait a víztől és a tolvajoktól [ajánlatok]Ez a hordozható széf megvédi legértékesebb felszerelését a fröccsenéstől. ka...