ایک سیکیورٹی محقق جس نے سفاری براؤزر میں نصف درجن سے زیادہ صفر دن کی کمزوریاں دریافت کیں اس نے ایپل کے بگ باؤنٹی پروگرام سے $75 کمائے۔ ان میں سے کچھ کیڑے حملہ آوروں کو میک کمپیوٹرز کے ساتھ ساتھ آئی فون اور آئی پیڈ موبائل آلات پر ویڈیو کیمرہ تک رسائی حاصل کرنے کی اجازت دے سکتے ہیں۔
ریان پکرین اس کی ویب سائٹ پر متعدد اشاعتوں میں کمزوریوں کے بارے میں۔ مجموعی طور پر، اس نے سات کمزوریاں پائی (CVE-2020-3852، CVE-2020-3864، CVE-2020-3865، CVE-2020-3885، CVE-2020-3887، CVE-2020-E9784 اور CVE-2020-9787) ، جن میں سے تین کا براہ راست تعلق MacOS اور iOS والے آلات پر کیمرے کی ممکنہ ہیکنگ سے تھا۔
براؤزر کی سیکیورٹی میں خامیوں نے ایک ہیکر کو Safari کو یہ سوچنے کے لیے دھوکہ دینے کی اجازت دی کہ بدنیتی پر مبنی سائٹ ایک قابل اعتماد سائٹ ہے۔ ایک پاپ اپ ونڈو بنانے کی صلاحیت کے ساتھ موزوں جاوا اسکرپٹ کوڈ (جیسے کہ اسٹینڈ اکیلی ویب سائٹ، ایمبیڈڈ بینر اشتہار، یا براؤزر ایکسٹینشن) اس حملے کو شروع کر سکتا ہے۔ ہیکر صارف کی پرائیویسی سے سمجھوتہ کرنے کے لیے اپنا شناختی ڈیٹا استعمال کرتا ہے، جس کا ایک حصہ ایپل کا شکریہ جو صارفین کو فی ویب سائٹ کی بنیاد پر سیکیورٹی سیٹنگز کو اسٹور کرنے کی اجازت دیتا ہے۔ نتیجے کے طور پر، ایک بدنیتی پر مبنی ویب سائٹ اسکائپ یا زوم جیسے قابل اعتماد ویڈیو کانفرنسنگ پورٹل کی نقالی کر سکتی ہے اور پھر صارف کے کیمرے تک رسائی حاصل کر سکتی ہے۔
پکرین نے اپنے نتائج ایپل کو جمع کرائے، جس کی وجہ سے جنوری میں سفاری کو اپ ڈیٹ کیا گیا (ورژن 13.0.5) جس نے تین حفاظتی خطرات کو طے کیا۔ پھر مارچ میں، ایپل نے ایک اور اپ ڈیٹ (ورژن 13.1) جاری کیا جس نے باقی حفاظتی سوراخوں کو بند کر دیا۔
جن لوگوں کو تفصیلات کی ضرورت ہے، "بگنٹر" نے اپنے بلاگ پر ہیکنگ کے عمل کو تفصیل سے بیان کیا، جس میں تکنیکی تفصیلات کا خاکہ پیش کیا گیا ہے۔ جہاں تک Apple Bug Bounty پروگرام کا تعلق ہے، دریافت شدہ بگز کی ادائیگی $5000 (کم سے کم) سے $1 ملین تک ہوتی ہے۔
ماخذ: 3dnews.ru