Safari brauzerida yarim o‘ndan ortiq nol kunlik zaifliklarni aniqlagan xavfsizlik bo‘yicha tadqiqotchi Apple kompaniyasining Bug Bounty dasturidan 75 000 dollar ishlab oldi. Ushbu xatolarning ba'zilari tajovuzkorlarga Mac kompyuterlaridagi veb-kameraga, shuningdek, iPhone va iPad mobil qurilmalaridagi videokameraga kirish imkonini berishi mumkin.
Rayan Pikren veb-saytidagi bir nechta nashrlardagi zaifliklar haqida. U jami yettita zaiflikni topdi (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 va CVE-2020-) , ulardan uchtasi to'g'ridan-to'g'ri MacOS va iOS qurilmalaridagi kamerani buzish bilan bog'liq edi.
Brauzer xavfsizligidagi kamchiliklar xakerga Safari’ni aldab, zararli sayt ishonchli sayt deb o‘ylashga imkon berdi. Qalqib chiquvchi oyna yaratish qobiliyatiga ega tegishli JavaScript kodi (masalan, mustaqil veb-sayt, o'rnatilgan banner reklamasi yoki brauzer kengaytmasi) bu hujumni boshlashi mumkin. Xaker o'z shaxsiy ma'lumotlaridan foydalanuvchining shaxsiy hayotini buzish uchun foydalanadi, bunga qisman Apple foydalanuvchilarga har bir veb-sayt asosida xavfsizlik sozlamalarini saqlashga imkon beradi. Natijada, zararli veb-sayt Skype yoki Zoom kabi ishonchli video konferentsiya portaliga taqlid qilishi va keyin foydalanuvchining kamerasiga kirishi mumkin.
Pikren o‘z xulosalarini Apple’ga taqdim etdi, bu esa yanvar oyida Safari’ni yangilashga olib keldi (versiya 13.0.5), bu xavfsizlikning uchta zaifligini tuzatdi. Keyin mart oyida Apple qolgan xavfsizlik teshiklarini yopadigan yana bir yangilanishni (versiya 13.1) chiqardi.
Tafsilotlarga muhtoj bo'lganlar uchun "bugunter" texnik tafsilotlarni ko'rsatadigan blogida xakerlik jarayonini batafsil tasvirlab berdi. Apple Bug Bounty dasturiga kelsak, aniqlangan xatolar uchun to'lovlar 5000 dollardan (minimal) 1 million dollargacha.
Manba: 3dnews.ru