Apple устранила ряд серьезных недостатков, которые позволили украсть камеру iPhone.
Хакер Райан Пикрен обнаружил уязвимости во время «довольно интенсивной» экспедиции по поиску ошибок в Safari. Ему заплатили 75000 долларов через Программа Apple Bug Bounty за его усилия.
iOS считается самой безопасной мобильной операционной системой. Apple потратила годы на усиление своей защиты, чтобы пользователям iPhone и iPad не приходилось беспокоиться о том, что их устройства будут эксплуатироваться, а их данные будут скомпрометированы.
Однако, как это часто бывает с программным обеспечением, существуют уязвимости, которые остаются незамеченными. Пикрен обнаружил не менее семи в Safari, три из которых позволяли захватить камеру iPhone с помощью вредоносного кода.
Недостатки Safari дают доступ к камере iPhone
Уязвимости нулевого дня могут быть использованы для предоставления доступа к камере и микрофону любому, кто знает, как ими воспользоваться. Все, что им нужно было сделать, это убедить пользователя iPhone посетить вредоносный веб-сайт.
«Подобная ошибка показывает, почему пользователи никогда не должны быть полностью уверены в безопасности своей камеры, независимо от операционной системы или производителя», - объяснил Пикрен. Forbes.
Уязвимости были обнаружены в декабре прошлого года, когда Пикрен решил «забивать браузер непонятными угловыми случаями», пока не обнаружил странное поведение. Он сосредоточился на безопасности камеры, несмотря на то, что она была невероятно сильной.
Незадолго до появления семи недостатков (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 и CVE-2020- 9787).
Apple предлагает быстрое решение
Пикрен сообщил о своих результатах в Apple, и три наиболее серьезные уязвимости - те, которые позволяли доступ к камере, - были исправлены в конце января с помощью обновления Safari 13.0.5.
Другие, менее серьезные недостатки были исправлены в Safari 13.1, выпущенном 24 марта.
За свои усилия Пикрен был награжден 75000 долларов. Он сказал, что ему «очень понравилось» работать с командой Apple по безопасности продуктов над этими проблемами, и он планирует вложить деньги в покупку новых продуктов и поиск новых ошибок.
«Я очень рад, что Apple воспользовалась помощью сообщества исследователей безопасности», - добавил Пикрен.