Öryggisfræðingur sem uppgötvaði meira en hálfan tylft núlldaga veikleika í Safari vafranum hefur þénað 75 dollara fyrir Bug Bounty forritið frá Apple. Sumar af þessum villum gætu gert árásarmönnum kleift að fá aðgang að vefmyndavélinni á Mac tölvum, sem og myndbandsupptökuvélinni á iPhone og iPad farsímum.
Ryan Pickren um varnarleysi í nokkrum ritum á vefsíðu sinni. Alls fann hann sjö veikleika (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 og CVE-2020) , þar af þrjár sem tengdust beint hugsanlegu hakki myndavélarinnar í tækjum með MacOS og iOS.
Gallar í öryggi vafrans gerðu tölvuþrjóta kleift að blekkja Safari til að halda að illgjarn síða væri traust síða. Viðeigandi JavaScript kóða með getu til að búa til sprettiglugga (svo sem sjálfstæða vefsíðu, innbyggða borðaauglýsingu eða vafraviðbót) getur komið þessari árás af stað. Tölvuþrjótarinn notar auðkennisgögn sín til að skerða friðhelgi einkalífs notandans, að hluta þökk sé Apple sem gerir notendum kleift að geyma öryggisstillingar á hverri vefsíðu. Fyrir vikið getur illgjarn vefsíða líkt eftir traustri myndfundagátt eins og Skype eða Zoom og síðan fengið aðgang að myndavél notandans.
Pickren skilaði niðurstöðum sínum til Apple, sem leiddi til uppfærslu á Safari í janúar (útgáfa 13.0.5) sem lagaði þrjá öryggisgalla. Síðan í mars gaf Apple út aðra uppfærslu (útgáfa 13.1) sem lokaði öryggisgötunum sem eftir voru.
Fyrir þá sem þurfa smáatriði, lýsti „snáðinn“ innbrotsferlinu í smáatriðum á blogginu sínu, sem útlistar tæknilegar upplýsingar. Hvað varðar Apple Bug Bounty forritið, þá eru greiðslur fyrir uppgötvaðar villur á bilinu $5000 (lágmark) til $1 milljón.
Heimild: 3dnews.ru