In befeiligingsûndersiker dy't mear as in heal dozen nul-dei kwetsberens yn 'e Safari-blêder ûntduts hat $ 75 fertsjinne fan Apple's Bug Bounty-programma. Guon fan dizze bugs kinne oanfallers tastean tagong te krijen ta de webcam op Mac-kompjûters, lykas de fideokamera op iPhone en iPad mobile apparaten.
Ryan Pickren oer kwetsberens yn ferskate publikaasjes op har webside. Yn totaal fûn hy sân kwetsberens (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 en CVE-2020) , wêrfan trije direkt relatearre wiene oan mooglike hacking fan 'e kamera op apparaten mei MacOS en iOS.
Defekten yn 'e feiligens fan' e browser lieten in hacker Safari ferrifelje om te tinken dat de kweade side in fertroude side wie. Passende JavaScript-koade mei de mooglikheid om in pop-up-finster te meitsjen (lykas in selsstannige webside, ynbêde banner-advertinsje, of browser-útwreiding) kin dizze oanfal starte. De hacker brûkt syn identiteitsgegevens om de privacy fan 'e brûker te kompromittearjen, foar in part te tankjen oan Apple wêrtroch brûkers befeiligingsynstellingen kinne opslaan per webside. As resultaat kin in kweade webside in fertroude fideokonferinsjeportaal lykas Skype of Zoom foardwaan en dan tagong krije ta de kamera fan de brûker.
Pickren yntsjinne syn befinings oan Apple, dy't late ta in update nei Safari yn jannewaris (ferzje 13.0.5) dy't repareare trije feiligens kwetsberheden. Dan yn maart publisearre Apple in oare update (ferzje 13.1) dy't de oerbleaune befeiligingsgaten slute.
Foar dyjingen dy't details nedich hawwe, beskreau de "bughunter" it hackingproses yn detail op syn blog, dy't de technyske details sketst. Wat it Apple Bug Bounty-programma oangiet, fariearje betellingen foar ûntdutsen bugs fan $5000 (minimum) oant $1 miljoen.
Boarne: 3dnews.ru