Safari brauzerində yarım gündən çox boşluq aşkar edən təhlükəsizlik tədqiqatçısı Apple-ın Bug Bounty proqramından 75 min dollar qazanıb. Bu səhvlərdən bəziləri təcavüzkarlara Mac kompüterlərindəki veb-kameraya, həmçinin iPhone və iPad mobil cihazlarında video kameraya giriş əldə etməyə imkan verə bilər.
Rayan Pikren öz internet saytındakı bir neçə nəşrdəki boşluqlar haqqında. O, ümumilikdə yeddi boşluq aşkar edib (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 və CVE-2020-) , bunlardan üçü birbaşa MacOS və iOS sistemli cihazlarda kameranın mümkün sındırılması ilə bağlı olub.
Brauzerin təhlükəsizliyindəki çatışmazlıqlar hakerə Safari-ni aldatmağa və zərərli saytın etibarlı sayt olduğunu düşünməyə imkan verdi. Pop-up pəncərə yaratmaq imkanı olan uyğun JavaScript kodu (məsələn, müstəqil veb-sayt, quraşdırılmış banner reklamı və ya brauzer uzantısı) bu hücumu başlada bilər. Haker öz şəxsiyyət məlumatlarından istifadəçinin məxfiliyini pozmaq üçün istifadə edir, buna qismən Apple istifadəçilərə hər vebsayt əsasında təhlükəsizlik parametrlərini saxlamağa imkan verir. Nəticədə, zərərli vebsayt Skype və ya Zoom kimi etibarlı video konfrans portalını təqlid edə və sonra istifadəçinin kamerasına giriş əldə edə bilər.
Pickren öz tapıntılarını Apple-a təqdim etdi və bu, yanvar ayında Safari-yə (versiya 13.0.5) üç təhlükəsizlik boşluğunu düzəldən yeniləməyə səbəb oldu. Mart ayında Apple, qalan təhlükəsizlik boşluqlarını bağlayan başqa bir yeniləmə (versiya 13.1) buraxdı.
Təfərrüatlara ehtiyacı olanlar üçün "bugunter" texniki detalları əks etdirən bloqunda sındırma prosesini ətraflı təsvir etdi. Apple Bug Bounty proqramına gəldikdə, aşkar edilmiş səhvlər üçün ödənişlər 5000 dollardan (minimum) 1 milyon dollara qədərdir.
Mənbə: 3dnews.ru