Safari arakatzailean zero eguneko dozena erdi ahultasun baino gehiago aurkitu dituen segurtasun ikertzaile batek 75 dolar irabazi ditu Appleren Bug Bounty programatik. Akats horietako batzuk erasotzaileek Mac ordenagailuetan webcamera sarbidea izan dezakete, baita iPhone eta iPad gailu mugikorretako bideokamera ere.
Ryan Pickren ahultasunei buruz bere webguneko hainbat argitalpenetan. Guztira, zazpi ahultasun aurkitu zituen (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 eta CVE-2020)- , horietako hiru MacOS eta iOS-eko gailuetan kameraren piratatze posiblearekin zuzenean lotuta zeuden.
Arakatzailearen segurtasunaren akatsek hacker batek Safari engainatu zuen gune gaiztoa gune fidagarri bat zela pentsatzeko. Pop-up leiho bat sortzeko gaitasuna duen JavaScript kode egokiak (adibidez, webgune autonomo bat, banner iragarki txertatua edo arakatzailearen luzapena) abiarazi dezake eraso hau. Hackerrak bere identitate-datuak erabiltzen ditu erabiltzailearen pribatutasuna arriskuan jartzeko, neurri batean Apple-k erabiltzaileei segurtasun-ezarpenak webgune bakoitzeko gordetzeko aukera eman dielako. Ondorioz, webgune maltzur batek bideo-konferentziaren atari fidagarri bat ordezka dezake, hala nola Skype edo Zoom, eta gero erabiltzailearen kamerarako sarbidea lor dezake.
Pickren-ek bere aurkikuntzak Apple-ri aurkeztu zizkion, eta horrek urtarrilean Safari eguneratzea ekarri zuen (13.0.5 bertsioa), segurtasun hiru ahultasun konpondu zituena. Ondoren, martxoan, Apple-k beste eguneratze bat kaleratu zuen (13.1 bertsioa), gainerako segurtasun-zuloak itxi zituena.
Xehetasunak behar dituztenentzat, "bughunter"-ak hacking-prozesua zehatz-mehatz deskribatu zuen bere blogean, xehetasun teknikoak zehazten dituena. Apple Bug Bounty programari dagokionez, aurkitutako akatsen ordainketak 5000 $ (gutxienez) eta milioi $ 1 artekoak dira.
Iturria: 3dnews.ru