Seorang peneliti keamanan yang menemukan lebih dari setengah lusin kerentanan zero-day di browser Safari telah memperoleh $75 dari program Bug Bounty Apple. Beberapa bug ini memungkinkan penyerang mendapatkan akses ke webcam di komputer Mac, serta kamera video di perangkat seluler iPhone dan iPad.
Ryan Pickren tentang kerentanan dalam beberapa publikasi di situsnya. Secara total, ia menemukan tujuh kerentanan (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 dan CVE-2020-9787) , tiga di antaranya terkait langsung dengan kemungkinan peretasan kamera pada perangkat dengan MacOS dan iOS.
Kelemahan dalam keamanan browser memungkinkan peretas mengelabui Safari agar mengira situs berbahaya tersebut adalah situs tepercaya. Kode JavaScript yang sesuai dengan kemampuan untuk membuat jendela pop-up (seperti situs web mandiri, iklan banner tertanam, atau ekstensi browser) dapat melancarkan serangan ini. Peretas menggunakan data identitasnya untuk membahayakan privasi pengguna, sebagian berkat Apple yang mengizinkan pengguna menyimpan pengaturan keamanan pada basis per situs web. Akibatnya, situs web jahat dapat meniru portal konferensi video tepercaya seperti Skype atau Zoom dan kemudian mendapatkan akses ke kamera pengguna.
Pickren menyerahkan temuannya ke Apple, yang menghasilkan pembaruan pada Safari pada bulan Januari (versi 13.0.5) yang memperbaiki tiga kerentanan keamanan. Kemudian pada bulan Maret, Apple merilis pembaruan lainnya (versi 13.1) yang menutup lubang keamanan yang tersisa.
Bagi mereka yang membutuhkan detail, "pemburu bug" menjelaskan proses peretasan secara detail di blognya, yang menguraikan detail teknisnya. Sedangkan untuk program Apple Bug Bounty, pembayaran untuk bug yang ditemukan berkisar dari $5000 (minimum) hingga $1 juta.
Sumber: 3dnews.ru