Apple плаща по 100 000 долара за разкриване на уязвимост в Mac
Apple постоянно рапортува за най-успешните „ бели хакери “, които са получили оптималната сума за всяка категория и са разкрили проблеми със сигурността. Самите специалисти не са длъжни да оповестяват размера на възнаграждението.
През януари 2022 година в интернет се появи отчет, че Райън Пикрен, студент от Съединените щати, който специализира киберсигурност, открива накърнимост в уеб камерите на Mac, която разрешава на хакерите да поемат напълно контрола над компютъра. Специалистът получи най-голямата публично известна премия Bug Bounty в размер на $100 500.
Проблемът, разпознат от Пикрен, към този момент е отхвърлен от разработчиците на Apple, само че е обвързван с пропуски в сигурността в Safari и iCloud, което разрешава цялостен надзор върху акаунта на потребителя, в това число iCloud и PayPal. Освен това нападателите могат да управляват работата на камерата, микрофона и да получат достъп до гледане на екрана. Цялата файлова система на Mac може да бъде изложена на риск.
Обяснявайки правилото на накърнимост, Пикрен означи, че опцията за хакване се появява при потребление на файлове на " webarchive " на Safari. Тази система е предопределена да съхранява местни копия на уеб сайтове в браузъра. Една от отличителните черти на такива файлове е опцията да се уточни източникът, в който би трябвало да се демонстрира наличието.
Въпреки това специалисти от плана Metasploit още през 2013 година означиха, че в случай че хакер промени този файл, той ще може дейно да внедри UXSS (Universal Cross-Site Scripting). За да направи това, нападателят би трябвало да изтегли архивирания файл и да го отвори. Пикрен обаче твърди, че сходен сюжет за хакване на Safari не се счита за реален. Специалистът отбелязва, че сходен механизъм е въведен от Apple преди 10 години, когато „ моделът за сигурност на браузъра към момента не е бил толкоз зрял, колкото е през днешния ден “.
През януари 2022 година в интернет се появи отчет, че Райън Пикрен, студент от Съединените щати, който специализира киберсигурност, открива накърнимост в уеб камерите на Mac, която разрешава на хакерите да поемат напълно контрола над компютъра. Специалистът получи най-голямата публично известна премия Bug Bounty в размер на $100 500.
Проблемът, разпознат от Пикрен, към този момент е отхвърлен от разработчиците на Apple, само че е обвързван с пропуски в сигурността в Safari и iCloud, което разрешава цялостен надзор върху акаунта на потребителя, в това число iCloud и PayPal. Освен това нападателите могат да управляват работата на камерата, микрофона и да получат достъп до гледане на екрана. Цялата файлова система на Mac може да бъде изложена на риск.
Обяснявайки правилото на накърнимост, Пикрен означи, че опцията за хакване се появява при потребление на файлове на " webarchive " на Safari. Тази система е предопределена да съхранява местни копия на уеб сайтове в браузъра. Една от отличителните черти на такива файлове е опцията да се уточни източникът, в който би трябвало да се демонстрира наличието.
Въпреки това специалисти от плана Metasploit още през 2013 година означиха, че в случай че хакер промени този файл, той ще може дейно да внедри UXSS (Universal Cross-Site Scripting). За да направи това, нападателят би трябвало да изтегли архивирания файл и да го отвори. Пикрен обаче твърди, че сходен сюжет за хакване на Safari не се счита за реален. Специалистът отбелязва, че сходен механизъм е въведен от Apple преди 10 години, когато „ моделът за сигурност на браузъра към момента не е бил толкоз зрял, колкото е през днешния ден “.
Източник: fakti.bg
КОМЕНТАРИ