Panaliti kaamanan anu mendakan langkung ti satengah belasan kerentanan enol dinten dina browser Safari parantos nampi $75 tina program Bug Bounty Apple. Sababaraha bug ieu tiasa ngamungkinkeun panyerang aksés kana webcam dina komputer Mac, ogé kaméra pidéo dina alat sélulér iPhone sareng iPad.
Ryan Pickren ngeunaan kerentanan dina sababaraha publikasi dina situs wéb na. Dina total, anjeunna mendakan tujuh kerentanan (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 sareng CVE-2020) , tilu diantarana langsung aya hubunganana sareng kamungkinan hacking kaméra dina alat anu nganggo MacOS sareng ios.
Cacat dina kaamanan browser ngamungkinkeun hiji hacker pikeun nipu Safari kana pamikiran situs jahat éta situs dipercaya. Kode JavaScript anu cocog sareng kamampuan nyiptakeun jandela pop-up (sapertos halaman wéb mandiri, iklan spanduk anu dipasang, atanapi ekstensi browser) tiasa ngaluncurkeun serangan ieu. Peretas ngagunakeun data idéntitasna pikeun kompromi privasi pangguna, hatur nuhun sabagian Apple ngamungkinkeun para pangguna pikeun nyimpen setélan kaamanan dina dasar per-situs wéb. Hasilna, situs wéb jahat tiasa nyamar portal konperénsi pidéo anu dipercaya sapertos Skype atanapi Zoom teras nampi aksés kana kaméra pangguna.
Pickren dikintunkeun papanggihan na ka Apple, nu ngarah ka apdet pikeun Safari dina Januari (versi 13.0.5) nu dibereskeun tilu vulnerabilities kaamanan. Lajeng dina Maret, Apple ngarilis update sejen (versi 13.1) nu nutup liang kaamanan sésana.
Pikeun anu peryogi rinci, "bughunter" ngajelaskeun prosés hacking sacara rinci dina blogna, anu ngagariskeun detil téknis. Sedengkeun pikeun program Apple Bug Bounty, pamayaran pikeun bug anu kapanggih dibasajankeun $5000 (minimal) dugi ka $1 juta.
sumber: 3dnews.ru