Apple заплатила $100 000 студенту, якому вдалося зламати Mac через браузер

Apple заплатила $100 000 студенту, якому вдалося зламати Mac через браузер

Вразливість існувала майже 10 років

Apple заплатила $100 000  студенту, якому вдалося зламати Mac через браузер
фото Pixaby

Американський студент Райан Пікрен, який вивчає кібербезпеку, знайшов новий спосіб отримати доступ до інтернет-акаунтів користувача Apple Mac, а також до веб-камери та інших частин комп'ютера.

В якості нагороди за це Apple виплатила йому $100 500. Студент, який раніше вже знаходив вразливості в камерах iPhone і Mac, отримав, можливо, найбільшу в історії виплату від Apple, пише AppleInsider, на яке посилається 3DNews.

За словами Пікрена, нова вразливість пов'язана із серією проблем із Safari та iCloud, які Apple вже виправила. До того, як проблеми були виправлені, шкідливий сайт міг запустити атаку, використовуючи проломи в безпеці.

У повному описі експлойту вказано, що він дає зловмиснику повний доступ до всіх облікових записів користувача, від iCloud до PayPal, а також дозволи на використання мікрофона, камери та демонстрацію вмісту екрана. Використовуючи цю вразливість, зловмисник може отримати повний доступ до файлової системи. Це може бути реалізовано завдяки системі, яку браузер Safari використовує для збереження локальних копій веб-сайтів.

Варто відзначити, що можливість атаки з використанням вразливості у веб-архіві Safari описувалася ще в 2013 році. За словами Пікрена, той факт, що вразливість проіснувала до нашого часу, означає, що Apple не вважала злом за допомогою веб-архіву реалістичним, коли вперше впровадила систему збереження локальних копій веб-сайтів у Safari.

«Звичайно, це рішення було ухвалено майже десять років тому, коли модель безпеки браузера ще не була такою зрілою, як сьогодні, – каже Пікрен. – До Safari 13 користувачеві навіть не було жодних попереджень, перш ніж веб-сайт завантажував довільні файли. Тому розмістити на комп'ютері жертви фальшивий файл веб-архіву було легко».

Apple заплатила Пікрену $100 500 у межах своєї програми виявлення помилок у ПЗ. Нагадаємо, що максимальна нагорода, передбачена програмою, сягає $1 млн. Варто зазначити, що Apple не раз критикували за занадто малі виплати в рамках програми пошуку вразливостей та за те, що вона повільно виправляла виявлені ентузіастами помилки.

Нагадаємо, у грудні Bloomberg повідомив про найгіршу вразливість в історії інтернету – використовувати її здатний навіть зловмисник низької кваліфікації.

Стежте за актуальними новинами бізнесу та економіки у наших Telegram-каналах Mind.Live та Mind.UA
Проєкт використовує файли cookie сервісів Mind. Це необхідно для його нормальної роботи та аналізу трафіку.ДетальнішеДобре, зрозуміло