Apple betaalde een cyberbeveiligingsstudent waarvan wordt gedacht dat het een recordbedrag is van $ 105.000 bugs. Waarom? Hij liet het bedrijf zien hoe het hacken van zijn webcams de apparaten volledig kwetsbaar kan maken voor verdere aanvallen.
Mac-webcamhack: problemen met Safari en iCloud
Student Ryan Pickren, die eerder een kwetsbaarheid in de iPhone- en Mac-camera ontdekt, zei dat de nieuwe kwetsbaarheid van de webcam betrekking had op een reeks problemen met Safari en iCloud. De fouten, die nu door Apple zijn gepatcht, kunnen kwaadwillende websites aanvallen laten lanceren.
Pickren verder uitgelegd het probleem zou een aanvaller volledige toegang geven tot alle webgebaseerde accounts, inclusief grote services zoals Gmail, iCloud en PayPal. Het zou ook toestemming geven om de microfoon, camera en schermdeling te gebruiken. Het gebruik van de camera blijft echter misschien niet onontdekt, omdat het groene indicatielampje zoals gewoonlijk zou branden.
Volledige toegang tot bestandssysteem
Pickren merkte op dat een dergelijke hack een aanvaller onbelemmerde toegang kan geven tot het volledige bestandssysteem van een apparaat. De sleutel omvat het exploiteren van Safari's "webarchive" -bestanden. Dat is het systeem dat de browser gebruikt om lokale kopieën van websites op te slaan.
"Een verrassend kenmerk van deze bestanden is dat ze de oorsprong van het web specificeren waarin de inhoud moet worden weergegeven", schreef Pickren. "Dit is een geweldige truc om Safari de context van de opgeslagen website te laten herbouwen, maar zoals de Metasploit-auteurs al zeiden in 2013, als een aanvaller dit bestand op de een of andere manier kan wijzigen, kunnen ze effectief UXSS [universele cross-site scripting] bereiken door ontwerp."
Voor een succesvolle exploit moet een hacker zo'n webarchiefbestand downloaden - en ook openen. Pickren suggereerde dat Apple het daarom als een onwaarschijnlijk hackscenario beschouwde toen het Safari's webarchief voor het eerst op zijn plaats zette.
"Toegegeven, deze beslissing werd bijna tien jaar geleden genomen, toen het browserbeveiligingsmodel lang niet zo volwassen was als het nu is", zei Pickren. “Voorafgaand aan Safari 13 werden er zelfs geen waarschuwingen aan de gebruiker getoond voordat een website willekeurige bestanden downloadde. Dus het plaatsen van het webarchief was eenvoudig.”
Apple heeft $ 100.500 uitbetaald
Apple gaf geen commentaar op de bug, ook niet of iemand er misbruik van maakte voor of na de ontdekking ervan. Maar de technologiegigant uit Cupertino betaalde Pickren $ 100.500 uit zijn bugbounty-programma. Dat is $ 500 meer dan eerder gerapporteerde uitbetalingen.
Het programma kan tot $ 1 miljoen toekennen. Apple publiceert een lijst met maximumbedragen per gemeld beveiligingsprobleem. Beveiligingsexperts zijn niet verplicht hun beloningsbedragen bekend te maken.
Dat gezegd hebbende, heeft Apple op een gegeven moment misschien meer uitbetaald dan de $ 100.500 voor Pickren. In het verleden klaagden critici het bedrijf aan voor het onderbieden van zijn eigen maximale uitbetalingsbedragen - hoewel niet altijd - en omdat ze soms traag zijn met het dichten van beveiligingslekken.
