ProHoster > Blog > ειδήσεις στο διαδίκτυο > Ο ειδικός που ανακάλυψε τρωτά σημεία στις κάμερες της Apple έλαβε 75 δολάρια

Ο ειδικός που ανακάλυψε τρωτά σημεία στις κάμερες της Apple έλαβε 75 δολάρια

Ένας ερευνητής ασφάλειας που ανακάλυψε περισσότερες από μισή ντουζίνα ευπάθειες zero-day στο πρόγραμμα περιήγησης Safari κέρδισε 75 $ από το πρόγραμμα Bug Bounty της Apple. Ορισμένα από αυτά τα σφάλματα θα μπορούσαν να επιτρέψουν στους εισβολείς να αποκτήσουν πρόσβαση στην κάμερα web σε υπολογιστές Mac, καθώς και στη βιντεοκάμερα σε κινητές συσκευές iPhone και iPad.

Ο ειδικός που ανακάλυψε τρωτά σημεία στις κάμερες της Apple έλαβε 75 δολάρια

Ράιαν Πίκρεν είπε λεπτομερώς σχετικά με τα τρωτά σημεία σε διάφορες δημοσιεύσεις στον ιστότοπό της. Συνολικά, βρήκε επτά ευπάθειες (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 και CVE-2020) , τρία από τα οποία σχετίζονταν άμεσα με πιθανό hacking της κάμερας σε συσκευές με MacOS και iOS.

Τα ελαττώματα στην ασφάλεια του προγράμματος περιήγησης επέτρεψαν σε έναν χάκερ να ξεγελάσει το Safari ώστε να πιστέψει ότι ο κακόβουλος ιστότοπος ήταν ένας αξιόπιστος ιστότοπος. Ο κατάλληλος κώδικας JavaScript με τη δυνατότητα δημιουργίας αναδυόμενου παραθύρου (όπως ένας αυτόνομος ιστότοπος, ενσωματωμένη διαφήμιση banner ή επέκταση προγράμματος περιήγησης) μπορεί να ξεκινήσει αυτήν την επίθεση. Ο χάκερ χρησιμοποιεί τα δεδομένα ταυτότητάς του για να θέσει σε κίνδυνο το απόρρητο του χρήστη, εν μέρει χάρη στην Apple που επιτρέπει στους χρήστες να αποθηκεύουν ρυθμίσεις ασφαλείας σε βάση ανά ιστότοπο. Ως αποτέλεσμα, ένας κακόβουλος ιστότοπος μπορεί να μιμηθεί μια αξιόπιστη πύλη τηλεδιάσκεψης, όπως το Skype ή το Zoom και στη συνέχεια να αποκτήσει πρόσβαση στην κάμερα του χρήστη.

Ο Pickren υπέβαλε τα ευρήματά του στην Apple, κάτι που οδήγησε σε μια ενημέρωση του Safari τον Ιανουάριο (έκδοση 13.0.5) που διόρθωσε τρία τρωτά σημεία ασφαλείας. Στη συνέχεια, τον Μάρτιο, η Apple κυκλοφόρησε μια άλλη ενημέρωση (έκδοση 13.1) που έκλεισε τις υπόλοιπες τρύπες ασφαλείας.

Για όσους χρειάζονται λεπτομέρειες, ο «bughunter» περιέγραψε αναλυτικά τη διαδικασία του hacking στο blog του, στο οποίο περιγράφονται οι τεχνικές λεπτομέρειες. Όσον αφορά το πρόγραμμα Apple Bug Bounty, οι πληρωμές για σφάλματα που ανακαλύφθηκαν κυμαίνονται από 5000 $ (ελάχιστο) έως 1 εκατομμύριο $.



Πηγή: 3dnews.ru

Προσθέστε ένα σχόλιο