Ang isang security researcher na nakatuklas ng higit sa kalahating dosenang zero-day vulnerabilities sa Safari browser ay nakakuha ng $75 mula sa Bug Bounty program ng Apple. Maaaring payagan ng ilan sa mga bug na ito ang mga umaatake na magkaroon ng access sa webcam sa mga Mac computer, gayundin ang video camera sa iPhone at iPad na mga mobile device.
Ryan Pickren
Ang mga kapintasan sa seguridad ng browser ay nagbigay-daan sa isang hacker na linlangin ang Safari sa pag-iisip na ang nakakahamak na site ay isang pinagkakatiwalaang site. Ang naaangkop na JavaScript code na may kakayahang lumikha ng pop-up window (tulad ng isang standalone na website, naka-embed na banner ad, o extension ng browser) ay maaaring maglunsad ng pag-atakeng ito. Ginagamit ng hacker ang kanyang data ng pagkakakilanlan upang ikompromiso ang privacy ng user, salamat sa isang bahagi sa Apple na nagpapahintulot sa mga user na mag-imbak ng mga setting ng seguridad sa bawat-website na batayan. Bilang resulta, ang isang nakakahamak na website ay maaaring magpanggap bilang isang pinagkakatiwalaang portal ng video conferencing gaya ng Skype o Zoom at pagkatapos ay makakuha ng access sa camera ng user.
Isinumite ni Pickren ang kanyang mga natuklasan sa Apple, na humantong sa isang update sa Safari noong Enero (bersyon 13.0.5) na nag-ayos ng tatlong mga kahinaan sa seguridad. Pagkatapos noong Marso, naglabas ang Apple ng isa pang update (bersyon 13.1) na nagsara sa natitirang mga butas sa seguridad.
Para sa mga nangangailangan ng mga detalye, inilarawan ng "bughunter" ang proseso ng pag-hack nang detalyado sa kanyang blog, na binabalangkas ang mga teknikal na detalye. Para sa programa ng Apple Bug Bounty, ang mga pagbabayad para sa mga natuklasang bug ay mula sa $5000 (minimum) hanggang $1 milyon.
Pinagmulan: 3dnews.ru