Seorang penyelidik keselamatan yang menemui lebih daripada setengah dozen kelemahan sifar hari dalam pelayar Safari telah memperoleh $75 daripada program Bug Bounty Apple. Sesetengah pepijat ini boleh membenarkan penyerang mendapat akses kepada kamera web pada komputer Mac, serta kamera video pada peranti mudah alih iPhone dan iPad.
Ryan Pickren tentang kelemahan dalam beberapa penerbitan di laman webnya. Secara keseluruhan, beliau menemui tujuh kelemahan (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 dan CVE-2020) , tiga daripadanya berkaitan secara langsung dengan kemungkinan penggodaman kamera pada peranti dengan MacOS dan iOS.
Kelemahan dalam keselamatan penyemak imbas membenarkan penggodam memperdaya Safari untuk menganggap tapak berniat jahat itu adalah tapak yang dipercayai. Kod JavaScript yang sesuai dengan keupayaan untuk mencipta tetingkap timbul (seperti tapak web kendiri, iklan sepanduk terbenam atau sambungan penyemak imbas) boleh melancarkan serangan ini. Penggodam menggunakan data identitinya untuk menjejaskan privasi pengguna, terima kasih sebahagiannya kepada Apple yang membenarkan pengguna menyimpan tetapan keselamatan pada setiap tapak web. Akibatnya, tapak web berniat jahat boleh menyamar sebagai portal persidangan video yang dipercayai seperti Skype atau Zoom dan kemudian mendapat akses kepada kamera pengguna.
Pickren menyerahkan penemuannya kepada Apple, yang membawa kepada kemas kini kepada Safari pada bulan Januari (versi 13.0.5) yang membetulkan tiga kelemahan keselamatan. Kemudian pada bulan Mac, Apple mengeluarkan satu lagi kemas kini (versi 13.1) yang menutup lubang keselamatan yang tinggal.
Bagi mereka yang memerlukan butiran, "bughunter" menerangkan proses penggodaman secara terperinci di blognya, yang menggariskan butiran teknikal. Bagi program Apple Bug Bounty, bayaran untuk pepijat yang ditemui adalah antara $5000 (minimum) hingga $1 juta.
Sumber: 3dnews.ru