Safari உலாவியில் அரை டசனுக்கும் அதிகமான ஜீரோ-டே பாதிப்புகளைக் கண்டறிந்த ஒரு பாதுகாப்பு ஆய்வாளர், Apple இன் Bug Bounty திட்டத்தில் இருந்து $75 சம்பாதித்துள்ளார். இந்த பிழைகளில் சில தாக்குபவர்களை Mac கணினிகளில் உள்ள வெப்கேம் மற்றும் iPhone மற்றும் iPad மொபைல் சாதனங்களில் உள்ள வீடியோ கேமராவை அணுக அனுமதிக்கும்.
ரியான் பிக்ரென் அதன் இணையதளத்தில் பல வெளியீடுகளில் உள்ள பாதிப்புகள் பற்றி. மொத்தத்தில், அவர் ஏழு பாதிப்புகளைக் கண்டறிந்தார் (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 மற்றும் 2020-9787) , அவற்றில் மூன்று MacOS மற்றும் iOS உள்ள சாதனங்களில் கேமரா ஹேக்கிங்குடன் நேரடியாக தொடர்புடையவை.
உலாவியின் பாதுகாப்பில் உள்ள குறைபாடுகள், தீங்கிழைக்கும் தளத்தை நம்பகமான தளமாக நினைத்து சஃபாரியை ஏமாற்ற ஹேக்கரை அனுமதித்தது. பாப்-அப் சாளரத்தை உருவாக்கும் திறன் கொண்ட பொருத்தமான JavaScript குறியீடு (தனிப்பட்ட இணையதளம், உட்பொதிக்கப்பட்ட பேனர் விளம்பரம் அல்லது உலாவி நீட்டிப்பு போன்றவை) இந்தத் தாக்குதலைத் தொடங்கலாம். பயனரின் தனியுரிமையை சமரசம் செய்ய ஹேக்கர் தனது அடையாளத் தரவைப் பயன்படுத்துகிறார், ஆப்பிள் ஒரு இணையத்தள அடிப்படையில் பாதுகாப்பு அமைப்புகளைச் சேமிக்க பயனர்களை அனுமதித்ததற்கு நன்றி. இதன் விளைவாக, தீங்கிழைக்கும் இணையதளம் ஸ்கைப் அல்லது ஜூம் போன்ற நம்பகமான வீடியோ கான்பரன்சிங் போர்ட்டலைப் போல் ஆள்மாறாட்டம் செய்து பயனரின் கேமராவை அணுகலாம்.
பிக்ரென் தனது கண்டுபிடிப்புகளை ஆப்பிளிடம் சமர்ப்பித்தார், இது ஜனவரியில் சஃபாரிக்கு புதுப்பிக்க வழிவகுத்தது (பதிப்பு 13.0.5) இது மூன்று பாதுகாப்பு பாதிப்புகளை சரிசெய்தது. மார்ச் மாதத்தில், ஆப்பிள் மற்றொரு புதுப்பிப்பை (பதிப்பு 13.1) வெளியிட்டது, அது மீதமுள்ள பாதுகாப்பு துளைகளை மூடியது.
விவரங்கள் தேவைப்படுபவர்களுக்கு, "பகுண்டர்" தனது வலைப்பதிவில் ஹேக்கிங் செயல்முறையை விரிவாக விவரித்தார், இது தொழில்நுட்ப விவரங்களை கோடிட்டுக் காட்டுகிறது. ஆப்பிள் பக் பவுண்டி திட்டத்தைப் பொறுத்தவரை, கண்டுபிடிக்கப்பட்ட பிழைகளுக்கான கட்டணங்கள் $5000 (குறைந்தபட்சம்) முதல் $1 மில்லியன் வரை இருக்கும்.
ஆதாரம்: 3dnews.ru