Apple заплатила $100 000 студенту, якому вдалося зламати Mac через браузер
Вразливість існувала майже 10 років
Американський студент Райан Пікрен, який вивчає кібербезпеку, знайшов новий спосіб отримати доступ до інтернет-акаунтів користувача Apple Mac, а також до веб-камери та інших частин комп'ютера.
В якості нагороди за це Apple виплатила йому $100 500. Студент, який раніше вже знаходив вразливості в камерах iPhone і Mac, отримав, можливо, найбільшу в історії виплату від Apple, пише AppleInsider, на яке посилається 3DNews.
За словами Пікрена, нова вразливість пов'язана із серією проблем із Safari та iCloud, які Apple вже виправила. До того, як проблеми були виправлені, шкідливий сайт міг запустити атаку, використовуючи проломи в безпеці.
У повному описі експлойту вказано, що він дає зловмиснику повний доступ до всіх облікових записів користувача, від iCloud до PayPal, а також дозволи на використання мікрофона, камери та демонстрацію вмісту екрана. Використовуючи цю вразливість, зловмисник може отримати повний доступ до файлової системи. Це може бути реалізовано завдяки системі, яку браузер Safari використовує для збереження локальних копій веб-сайтів.
Варто відзначити, що можливість атаки з використанням вразливості у веб-архіві Safari описувалася ще в 2013 році. За словами Пікрена, той факт, що вразливість проіснувала до нашого часу, означає, що Apple не вважала злом за допомогою веб-архіву реалістичним, коли вперше впровадила систему збереження локальних копій веб-сайтів у Safari.
«Звичайно, це рішення було ухвалено майже десять років тому, коли модель безпеки браузера ще не була такою зрілою, як сьогодні, – каже Пікрен. – До Safari 13 користувачеві навіть не було жодних попереджень, перш ніж веб-сайт завантажував довільні файли. Тому розмістити на комп'ютері жертви фальшивий файл веб-архіву було легко».
Apple заплатила Пікрену $100 500 у межах своєї програми виявлення помилок у ПЗ. Нагадаємо, що максимальна нагорода, передбачена програмою, сягає $1 млн. Варто зазначити, що Apple не раз критикували за занадто малі виплати в рамках програми пошуку вразливостей та за те, що вона повільно виправляла виявлені ентузіастами помилки.
Нагадаємо, у грудні Bloomberg повідомив про найгіршу вразливість в історії інтернету – використовувати її здатний навіть зловмисник низької кваліфікації.
Якщо ви дочитали цей матеріал до кінця, ми сподіваємось, що це значить, що він був корисним для вас.
Ми працюємо над тим, аби наша журналістська та аналітична робота була якісною, і прагнемо виконувати її максимально компетентно. Це вимагає і фінансової незалежності.
Станьте підписником Mind всього за 196 грн на місяць та підтримайте розвиток незалежної ділової журналістики!
Ви можете скасувати підписку у будь-який момент у власному кабінеті LIQPAY, або написавши нам на адресу: [email protected].
