Apple ha eliminato una serie di gravi difetti che hanno permesso il dirottamento della fotocamera di un iPhone.
L'hacker Ryan Pickren ha scoperto le vulnerabilità durante una spedizione di caccia di bug "piuttosto intensa" in Safari. È stato pagato $ 75.000 tramite Programma Bug Bounty di Apple per i suoi sforzi.
iOS è considerato il sistema operativo mobile più sicuro. Apple ha trascorso anni a rafforzare le sue protezioni per garantire che gli utenti di iPhone e iPad non debbano preoccuparsi che i loro dispositivi vengano sfruttati e che i loro dati vengano compromessi.
Come spesso accade con il software, tuttavia, ci sono vulnerabilità che non vengono rilevate. Pickren ne ha trovati non meno di sette in Safari, tre dei quali hanno permesso che la fotocamera di un iPhone venisse dirottata da codice dannoso.
I difetti di Safari danno accesso alla fotocamera dell'iPhone
Le vulnerabilità zero-day potrebbero essere sfruttate per concedere l'autorizzazione alla telecamera e al microfono a chiunque sapesse come trarne vantaggio. Tutto quello che dovevano fare era convincere un utente iPhone a visitare un sito Web dannoso.
"Un bug come questo mostra perché gli utenti non dovrebbero mai sentirsi totalmente sicuri che la loro fotocamera sia sicura, indipendentemente dal sistema operativo o dal produttore", ha spiegato Pickren a Forbes.
Le vulnerabilità sono state scoperte lo scorso dicembre quando Pickren ha deciso di "martellare il browser con casi oscuri" fino a quando non è stato scoperto uno strano comportamento. Si è concentrato sulla sicurezza della telecamera, nonostante fosse incredibilmente forte.
Non passò molto tempo prima di sette difetti (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 e CVE-2020- 9787) sono stati trovati.
Apple fornisce una soluzione rapida
Pickren ha riferito le sue scoperte ad Apple e le tre vulnerabilità più gravi, quelle che consentivano l'accesso alla fotocamera, sono state risolte alla fine di gennaio dall'aggiornamento Safari 13.0.5.
Gli altri difetti meno gravi sono stati corretti in Safari 13.1, lanciato il 24 marzo.
Per i suoi sforzi, Pickren ha ricevuto $ 75.000. Ha detto che "si è davvero divertito" a lavorare con il team di sicurezza dei prodotti di Apple sui problemi e ha intenzione di investire i soldi per l'acquisto di nuovi prodotti e la ricerca di nuovi bug.
"Sono davvero entusiasta che Apple abbia abbracciato l'aiuto della comunità di ricerca sulla sicurezza", ha aggiunto Pickren.