ProHoster > Blog > balita sa internet > Ang espesyalista na nakatuklas ng mga kahinaan sa mga Apple camera ay nakatanggap ng $75

Ang espesyalista na nakatuklas ng mga kahinaan sa mga Apple camera ay nakatanggap ng $75

Ang isang security researcher na nakatuklas ng higit sa kalahating dosenang zero-day vulnerabilities sa Safari browser ay nakakuha ng $75 mula sa Bug Bounty program ng Apple. Maaaring payagan ng ilan sa mga bug na ito ang mga umaatake na magkaroon ng access sa webcam sa mga Mac computer, gayundin ang video camera sa iPhone at iPad na mga mobile device.

Ang espesyalista na nakatuklas ng mga kahinaan sa mga Apple camera ay nakatanggap ng $75

Ryan Pickren sinabi nang detalyado tungkol sa mga kahinaan sa ilang publikasyon sa website nito. Sa kabuuan, nakakita siya ng pitong kahinaan (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 at CVE-2020) , tatlo sa mga ito ay direktang nauugnay sa posibleng pag-hack ng camera sa mga device na may MacOS at iOS.

Ang mga kapintasan sa seguridad ng browser ay nagbigay-daan sa isang hacker na linlangin ang Safari sa pag-iisip na ang nakakahamak na site ay isang pinagkakatiwalaang site. Ang naaangkop na JavaScript code na may kakayahang lumikha ng pop-up window (tulad ng isang standalone na website, naka-embed na banner ad, o extension ng browser) ay maaaring maglunsad ng pag-atakeng ito. Ginagamit ng hacker ang kanyang data ng pagkakakilanlan upang ikompromiso ang privacy ng user, salamat sa isang bahagi sa Apple na nagpapahintulot sa mga user na mag-imbak ng mga setting ng seguridad sa bawat-website na batayan. Bilang resulta, ang isang nakakahamak na website ay maaaring magpanggap bilang isang pinagkakatiwalaang portal ng video conferencing gaya ng Skype o Zoom at pagkatapos ay makakuha ng access sa camera ng user.

Isinumite ni Pickren ang kanyang mga natuklasan sa Apple, na humantong sa isang update sa Safari noong Enero (bersyon 13.0.5) na nag-ayos ng tatlong mga kahinaan sa seguridad. Pagkatapos noong Marso, naglabas ang Apple ng isa pang update (bersyon 13.1) na nagsara sa natitirang mga butas sa seguridad.

Para sa mga nangangailangan ng mga detalye, inilarawan ng "bughunter" ang proseso ng pag-hack nang detalyado sa kanyang blog, na binabalangkas ang mga teknikal na detalye. Para sa programa ng Apple Bug Bounty, ang mga pagbabayad para sa mga natuklasang bug ay mula sa $5000 (minimum) hanggang $1 milyon.



Pinagmulan: 3dnews.ru

Magdagdag ng komento