Seorang peneliti keamanan yang menemukan lebih dari setengah lusin kerentanan zero-day di browser Safari telah memperoleh $75 dari program Bug Bounty Apple. Beberapa bug ini memungkinkan penyerang mendapatkan akses ke webcam di komputer Mac, serta kamera video di perangkat seluler iPhone dan iPad.
Ryan Pickren
Kelemahan dalam keamanan browser memungkinkan peretas mengelabui Safari agar mengira situs berbahaya tersebut adalah situs tepercaya. Kode JavaScript yang sesuai dengan kemampuan untuk membuat jendela pop-up (seperti situs web mandiri, iklan banner tertanam, atau ekstensi browser) dapat melancarkan serangan ini. Peretas menggunakan data identitasnya untuk membahayakan privasi pengguna, sebagian berkat Apple yang mengizinkan pengguna menyimpan pengaturan keamanan pada basis per situs web. Akibatnya, situs web jahat dapat meniru portal konferensi video tepercaya seperti Skype atau Zoom dan kemudian mendapatkan akses ke kamera pengguna.
Pickren menyerahkan temuannya ke Apple, yang menghasilkan pembaruan pada Safari pada bulan Januari (versi 13.0.5) yang memperbaiki tiga kerentanan keamanan. Kemudian pada bulan Maret, Apple merilis pembaruan lainnya (versi 13.1) yang menutup lubang keamanan yang tersisa.
Bagi mereka yang membutuhkan detail, "pemburu bug" menjelaskan proses peretasan secara detail di blognya, yang menguraikan detail teknisnya. Sedangkan untuk program Apple Bug Bounty, pembayaran untuk bug yang ditemukan berkisar dari $5000 (minimum) hingga $1 juta.
Sumber: 3dnews.ru