Safari хөтчийн хагас арав гаруй 75 өдрийн сул талыг илрүүлсэн аюулгүй байдлын судлаач Apple-ийн Bug Bounty хөтөлбөрөөс 000 долларын ашиг олжээ. Эдгээр алдаануудын зарим нь халдагчдад Mac компьютер дээрх вэбкамер, мөн iPhone болон iPad гар утасны төхөөрөмж дээрх видео камер руу нэвтрэх боломжийг олгодог.
Райан Пикрен вэб сайтын хэд хэдэн хэвлэлд гарсан эмзэг байдлын талаар. Тэрээр нийтдээ долоон эмзэг байдлыг олсон (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 ба CVE-2020-) , эдгээрийн гурав нь MacOS болон iOS үйлдлийн системтэй төхөөрөмжүүдийн камерыг хакердсантай шууд холбоотой байв.
Хөтөчийн аюулгүй байдлын алдаа нь хакерт хортой сайтыг найдвартай сайт гэж Safari-г хууран мэхлэх боломжийг олгосон. Попап цонх үүсгэх чадвартай тохирох JavaScript код (бие даасан вэбсайт, суулгагдсан сурталчилгаа эсвэл хөтчийн өргөтгөл гэх мэт) энэ халдлагыг эхлүүлэх боломжтой. Хакер нь хэрэглэгчийн нууцлалыг алдагдуулахын тулд өөрийн хувийн мэдээллийг ашигладаг бөгөөд энэ нь зарим талаараа Apple-д хэрэглэгчдэд вэбсайт бүрээр аюулгүй байдлын тохиргоог хадгалах боломжийг олгосонд талархаж байна. Үүний үр дүнд хортой вэбсайт нь Skype эсвэл Zoom гэх мэт итгэмжлэгдсэн видео хурлын порталыг дуурайж, улмаар хэрэглэгчийн камер руу нэвтрэх боломжтой болно.
Пикрен өөрийн олж мэдсэн зүйлээ Apple-д илгээсэн бөгөөд энэ нь 13.0.5-р сард Safari-д шинэчлэлт хийсэн (хувилбар 13.1) аюулгүй байдлын гурван сул талыг зассан. Дараа нь XNUMX-р сард Apple аюулгүй байдлын цоорхойг хаасан өөр нэг шинэчлэлтийг (хувилбар XNUMX) гаргасан.
Дэлгэрэнгүй мэдээлэл хэрэгтэй байгаа хүмүүст зориулж "bugunter" техникийн нарийн ширийн зүйлийг харуулсан блог дээрээ хакердах үйл явцыг дэлгэрэнгүй тайлбарласан. Apple Bug Bounty хөтөлбөрийн хувьд илрүүлсэн алдааны төлбөр 5000 доллараас (хамгийн багадаа) 1 сая доллар хүртэл байдаг.
Эх сурвалж: 3dnews.ru