Safari браузерінде жарты күннен астам нөлдік күндік осалдықтарды тапқан қауіпсіздік зерттеушісі Apple компаниясының Bug Bounty бағдарламасынан 75 000 доллар табыс тапты. Осы қателердің кейбірі шабуылдаушыларға Mac компьютерлеріндегі веб-камераға, сондай-ақ iPhone және iPad мобильді құрылғыларындағы бейне камераға қол жеткізуге мүмкіндік береді.
Райан Пикрен веб-сайтындағы бірнеше жарияланымдардағы осалдықтар туралы. Ол барлығы жеті осалдықты тапты (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 және CVE-2020-) , олардың үшеуі MacOS және iOS құрылғыларында камераны бұзуға тікелей қатысты.
Браузердің қауіпсіздігіндегі кемшіліктер хакерге Safari-ді алдап, зиянды сайтты сенімді сайт деп ойлауға мүмкіндік берді. Қалқымалы терезені жасау мүмкіндігі бар сәйкес JavaScript коды (мысалы, жеке веб-сайт, ендірілген баннер жарнамасы немесе шолғыш кеңейтімі) бұл шабуылды іске қоса алады. Хакер өзінің жеке басын куәландыратын деректерін пайдаланушының құпиялылығын бұзу үшін пайдаланады, ішінара Apple пайдаланушыларға әр веб-сайт негізінде қауіпсіздік параметрлерін сақтауға мүмкіндік береді. Нәтижесінде зиянды веб-сайт Skype немесе Zoom сияқты сенімді бейнеконференция порталының атын көрсетіп, содан кейін пайдаланушының камерасына қол жеткізе алады.
Пикрен өз нәтижелерін Apple компаниясына жіберді, бұл қаңтарда Safari жаңартуына әкелді (13.0.5 нұсқасы), ол қауіпсіздіктің үш осалдығын түзеді. Содан кейін наурыз айында Apple қалған қауіпсіздік саңылауларын жапқан тағы бір жаңартуды (13.1 нұсқасы) шығарды.
Толық мәліметтерді қажет ететіндер үшін «багюнтер» техникалық мәліметтерді сипаттайтын блогында бұзу процесін егжей-тегжейлі сипаттады. Apple Bug Bounty бағдарламасына келетін болсақ, анықталған қателер үшін төлемдер 5000 доллардан (ең аз) 1 миллион долларға дейін болады.
Ақпарат көзі: 3dnews.ru