Apple виплатила $75 000 хакеру за виявлення експлойтів для викрадення камери iPhone

Компанія Apple виплатила $75 000 хакеру, який виявив уразливості, що дозволяють перехоплювати камери iPhone і Mac.

Дослідник безпеки і колишній інженер з безпеки Amazon Web Services Райан Пікрен розкрив компанії Apple щонайменше сім уразливостей нульового дня в браузері Safari, повідомляє Forbes. Три з цих вразливостей можуть бути використані для викрадення камер пристроїв на iOS і macOS.

Експлойт вимагав від жертв відвідування шкідливого веб-сайту, який потім міг отримати доступ до камери пристрою, якщо він раніше довіряв сервісу відеоконференцій, такому як Zoom.

• Як iPhone 14 Plus став одним з найбільших технологічних провалів 2022 року
• Як налаштувати новий телефон Samsung Galaxy як професіонал
• Я знайшов прихований підсумок кінця 2022 року на своєму iPhone, але краще б я цього не робив

“Подібна помилка показує, чому користувачі ніколи не повинні відчувати себе повністю впевненими в безпеці своєї камери, – сказав Пікрен в інтерв’ю Forbes, – незалежно від операційної системи або виробника”.

Пікрен повідомив Apple про своє відкриття в середині грудня 2019 року. Apple підтвердила всі сім вразливостей, а через кілька тижнів випустила виправлення для експлойта камери iOS і macOS. Після цього досліднику безпеки було виплачено $75 000, які, за словами Пікрена, стали його першим заробітком від компанії.

Дослідник безпеки Шон Райт розповів Forbes, що виявлений Пікрен експлойт, навіть якщо він вимагав від жертви відвідування шкідливого веб-сайту, був “дуже життєздатною формою атаки”. Райт додав, що в порівнянні з увагою до веб-камер в комп’ютерах, не було приділено багато уваги камерам і мікрофонам мобільних телефонів, які, за його словами, є “набагато більш вірогідним маршрутом” для зловмисників, якщо вони хочуть підслуховувати свої цілі.

Винагороди за виявлення помилок

Програми винагороди за виправлення помилок стимулюють дослідників безпеки допомагати технологічним компаніям знаходити вразливості в їхньому програмному забезпеченні, замість того, щоб експлойти потрапляли до рук зловмисників-хакерів

Apple, яка запустила програму винагороди за баги в 2016 році, внесла зміни в серпні 2019 року, які включали додавання винагороди в розмірі 1 мільйона доларів для хакерів, які зможуть запустити “атаку на виконання ядра повного ланцюжка з нульовим клацанням миші з наполегливістю”. У грудні 2019 року програма була остаточно розширена, щоб приймати заявки на помилки в macOS.

Конкурент Apple, Google, також був щедрим на свою програму винагороди за баги, запропонувавши винагороду до 1,5 мільйона доларів за “експлойт віддаленого виконання коду з повним ланцюжком, який компрометує захищений елемент Titan M на пристроях Pixel”. У 2019 році Google виплатила в цілому 6,5 мільйона доларів США у вигляді винагороди за виправлення помилок, на загальну суму 21 мільйон доларів США з моменту запуску програми в 2010 році.

Рекомендації редакції

• Підступне оновлення iOS змусило мене знову захопитися iPhone 14 Pro
• Щойно придбали новий iPhone? Ось 12 порад і підказок, як його освоїти
• У 2023 році Apple повинна виправити свій ганебний ліміт в 5 ГБ iCloud
• Apple може скасувати iPhone SE 4 в наступному році – і я радий
• Фотографічні стилі – це найбільш недооцінена функція камери iPhone 14, яку ви не використовуєте

Source: digitaltrends.com