Студент заработи солидна награда от Apple, хаквайки нейните устройства
(снимка: CC0 Public Domain)
Американският студент по киберсигурност Райън Пикрен откри нов начин за достъп до интернет акаунтите на потребител на Apple Mac, както и до уеб камерата и други части на компютъра. Като награда за това Apple му плати 100 500 долара.
Студентът, който преди това е открил уязвимости в камерите на iPhone и Mac, получи може би най-голямото досега плащане за бъг от Apple, отбелязва Apple Insider. Пикрен казва, че новата уязвимост е свързана с поредица от проблеми с браузъра Safari и услугата iCloud, които Apple вече е отстранила.
Преди проблемите да бъдат отстранени, злонамерен уебсайт е можел да започне атака, използвайки дупките в сигурността. Описанието на експлойта гласи, че дава на нападателя пълен достъп до всички потребителски акаунти, от iCloud до PayPal, както и разрешения за използване на микрофона, камерата и споделянето на екрана.
Използвайки тази уязвимост, атакуващият може да получи пълен достъп до файловата система на епълското устройство. Това може да стане чрез системата, използвана от браузъра Safari за съхраняване на локални копия на уебсайтове.
Възможността за атака през уязвимост в уеб архива на Safari беше описана още през 2013 г. Фактът, че уязвимостта е оцеляла до наши дни, означава, че Apple не е смятала за реалистично хакването на уеб архива, когато за първи път внедри системата на Safari за запазване на локални копия на уебсайтове, коментира Пикрен.
„Разбира се, това решение беше взето преди почти десетилетие, когато моделът за сигурност на браузъра все още не беше толкова зрял, колкото е днес”, казва Пикрен. „Преди Safari 13 на потребителя дори не са показвани никакви предупреждения, преди уебсайт да зареди произволни файлове. Следователно беше лесно да се постави фалшив уеб архивен файл на компютъра на жертвата”.
Apple не коментира проблема, нито каза дали от него вече са се възползвали хакери. Компанията плати на Пикрен 100 500 долара като част от корпоративната си програма за откриване на бъгове. Максималната награда, предоставяна по тази програма, достига 1 милион долара.
Компанията от Купертино многократно е критикувана, че плаща твърде малко по въпросната програма, за да открива уязвимости, и че е бавна при отстраняването на грешки, открити от ентусиасти.