„Apple“ pašalino daugybę rimtų trūkumų, leidusių užgrobti „iPhone“ fotoaparatą.
Įsilaužėlis Ryanas Pickrenas atrado pažeidžiamumus per „gana intensyvią“ klaidų medžioklės ekspediciją „Safari“. Jam buvo sumokėta 75 000 USD „Apple Bug Bounty“ programa už jo pastangas.
„iOS“ laikoma saugiausia mobiliųjų įrenginių operacine sistema. „Apple“ daugelį metų stiprino savo apsaugą, siekdama užtikrinti, kad „iPhone“ ir „iPad“ naudotojams nereikėtų nerimauti dėl jų įrenginių išnaudojimo ir jų duomenų pažeidimo.
Tačiau, kaip dažnai būna programinės įrangos atveju, yra pažeidžiamumų, kurių nepastebima. Pickrenas „Safari“ rado ne mažiau kaip septynis, iš kurių trys leido „iPhone“ fotoaparatą užgrobti kenkėjišku kodu.
„Safari“ trūkumai suteikia prieigą prie „iPhone“ fotoaparato
Nulinės dienos pažeidžiamumas galėtų būti panaudotas suteikiant kameros ir mikrofono leidimą visiems, kurie žinojo, kaip jais pasinaudoti. Viskas, ką jiems reikėjo padaryti, buvo įtikinti „iPhone“ vartotoją apsilankyti kenkėjiškoje svetainėje.
„Tokia klaida rodo, kodėl vartotojai niekada neturėtų jaustis visiškai tikri, kad jų fotoaparatas yra saugus, nepriklausomai nuo operacinės sistemos ar gamintojo“, - paaiškino Pickrenas. „Forbes“.
Pažeidžiamumai buvo aptikti praėjusių metų gruodį, kai Pickrenas nusprendė „užmušti naršyklę neaiškiais kampiniais dėklais“, kol bus atskleistas keistas elgesys. Jis sutelkė dėmesį į fotoaparato saugumą, nepaisant to, kad jis yra neįtikėtinai stiprus.
Neilgai trukus septyni trūkumai (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 ir CVE-2020- 9787).
„Apple“ siūlo greitą taisymą
Pickrenas pranešė apie savo išvadas „Apple“, o trys rimčiausi pažeidžiamumai - tie, kurie leido pasiekti fotoaparatą - sausio pabaigoje buvo ištaisyti atnaujinus „Safari 13.0.5“.
Kiti, ne tokie rimti trūkumai buvo pašalinti „Safari 13.1“, išleisti kovo 24 d.
Už savo pastangas Pickrenas buvo apdovanotas 75 000 USD. Jis sakė, kad jam „labai patiko“ dirbti su „Apple“ produktų saugos komanda sprendžiant šias problemas, ir planuoja skirti pinigų naujų produktų pirkimui ir naujų klaidų paieškai.
„Labai džiaugiuosi, kad„ Apple “pasinaudojo saugumo tyrimų bendruomenės pagalba“, - pridūrė Pickrenas.