حصل الباحث الأمني الذي اكتشف أكثر من ستة ثغرات أمنية في متصفح Safari على 75 دولار من برنامج Bug Bounty التابع لشركة Apple. قد تسمح بعض هذه الأخطاء للمهاجمين بالوصول إلى كاميرا الويب الموجودة على أجهزة كمبيوتر Mac، بالإضافة إلى كاميرا الفيديو الموجودة على أجهزة iPhone وiPad المحمولة.
ريان بيكرين حول نقاط الضعف في العديد من المنشورات على موقعها على الانترنت. في المجمل، وجد سبع نقاط ضعف (CVE-2020-3852، CVE-2020-3864، CVE-2020-3865، CVE-2020-3885، CVE-2020-3887، CVE-2020-9784 وCVE-2020-9787) ثلاثة منها كانت مرتبطة بشكل مباشر باحتمال اختراق الكاميرا على الأجهزة التي تعمل بنظامي MacOS وiOS.
سمحت العيوب الموجودة في أمان المتصفح للمتسلل بخداع Safari وجعله يعتقد أن الموقع الضار هو موقع موثوق به. يمكن أن يقوم كود JavaScript المناسب مع القدرة على إنشاء نافذة منبثقة (مثل موقع ويب مستقل أو إعلان بانر مضمن أو امتداد المتصفح) بإطلاق هذا الهجوم. ويستخدم المتسلل بيانات هويته لاختراق خصوصية المستخدم، ويرجع الفضل في ذلك جزئيًا إلى سماح شركة Apple للمستخدمين بتخزين إعدادات الأمان على أساس كل موقع ويب. ونتيجة لذلك، يمكن لموقع ويب ضار انتحال شخصية بوابة مؤتمرات فيديو موثوقة مثل Skype أو Zoom ومن ثم الوصول إلى كاميرا المستخدم.
قدم بيكرين النتائج التي توصل إليها إلى شركة Apple، مما أدى إلى تحديث Safari في يناير (الإصدار 13.0.5) والذي أدى إلى إصلاح ثلاث ثغرات أمنية. ثم في شهر مارس، أصدرت شركة Apple تحديثًا آخر (الإصدار 13.1) أغلق الثغرات الأمنية المتبقية.
ولمن يريد التفاصيل، وصف "صائد الأخطاء" عملية الاختراق بالتفصيل على مدونته، التي توضح التفاصيل الفنية. أما بالنسبة لبرنامج Apple Bug Bounty، فإن المدفوعات مقابل الأخطاء المكتشفة تتراوح بين 5000 دولار (كحد أدنى) إلى مليون دولار.
المصدر: 3dnews.ru