Студент получил от Apple $100 000 за найденную уязвимость в Mac

28.01.2022 в 07:45 | Наталья Ткачук, джерело: «Facenews»

Райан Пикрен, ранее обнаруживший уязвимость в камерах iPhone и Mac, получил $100 500, как полагают, крупнейшую выплату от Apple, передает FaceNews.ua.

По словам Пикрена, новая уязвимость веб-камеры связана с серией проблем с Safari и iCloud, которые, по его словам, Apple уже исправила. До того, как она была исправлена, вредоносный веб-сайт мог запустить атаку, используя эти недостатки.

В своем полном описании уязвимости Пикрен объясняет, что она даст злоумышленнику полный доступ ко всем веб-аккаунтам, от iCloud до PayPal, а также разрешение на использование микрофона, камеры и демонстрацию экрана.

Пикрен сообщает, что тот же взлом в конечном итоге означает, что злоумышленник может получить полный доступ ко всей файловой системе устройства. Это будет сделано за счет использования файлов «webarchive» Safari, системы, которую браузер использует для сохранения локальных копий веб-сайтов.

«Поразительная особенность этих файлов заключается в том, что они указывают веб-источник, в котором должно отображаться содержимое», — пишет Пикрен. «Это отличный трюк, позволяющий Safari восстановить контекст сохраненного веб-сайта, но, как указывали авторы Metasploit еще в 2013 году, если злоумышленник сможет каким-то образом изменить этот файл, он сможет эффективно реализовать UXSS (универсальный межсайтовый скриптинг)».

Пользователь должен скачать такой файл веб-архива, а затем также открыть его. По словам Пикрена, это означало, что Apple не считала это реалистичным сценарием взлома, когда впервые внедрила веб-архив Safari.

«Конечно, это решение было принято почти десять лет назад, когда модель безопасности браузера еще не была такой зрелой, как сегодня», — говорит Пикрен.

«До Safari 13 пользователю даже не отображалось никаких предупреждений, прежде чем веб-сайт загружал произвольные файлы», — продолжил он. «Поэтому разместить файл веб-архива было легко».

Apple не прокомментировала ошибку, и неизвестно, использовалась ли она активно. Но Apple заплатила Пикрену $100 500 из своей программы вознаграждения за обнаружение ошибок.

Программа Bug Bounty может официально присудить до 1 миллиона долларов, и компания публикует список максимальных сумм для каждой категории обнаруженных проблем безопасности. От экспертов по безопасности не требуется публично раскрывать сумму, которую они получили.

Впрочем, пользователи отмечают, что сумма выплаты выглядит небольшой по сравнению с теми рисками, которые несла уязвимость.

«Это открытие, безусловно, стоит более 100 тысяч долларов. Я понятия не имею, как Apple оценивает обнаруженный взлом, но, учитывая потенциальные возможности этого взлома, я бы сказал, что он стоит ближе к 1 миллиону долларов, чем к 100 тысячам долларов. Интересно, какая уязвимость безопасности будет стоить Apple миллион?» — отметил пользователь под ником tedz98.

Судебный процесс является вторым в своем роде — Facebook подал в суд на NSO в 2019 году за то, что компания взламывала пользователей WhatsApp.

Компания Apple впервые пытается привлечь к ответственности NSO за то, что, по ее словам, было слежкой и преследованием пользователей Apple. Apple также хочет навсегда запретить NSO использовать какое-либо программное обеспечение, услуги или устройства Apple. Это шаг, который может сделать шпионский продукт Pegasus бесполезным, учитывая, что основной бизнес компании — предоставить правительственным клиентам полный доступ к iPhone цели.

«NSO Group при государственной финансовой поддержке разработала сложную технологию слежения. Созданное ей шпионское ПО позволяет прицельно собирать сведения о действиях жертвы. Атаки с использованием этой технологии направлены на очень небольшое количество пользователей. Исследователи и журналисты опубликовали документы, подтверждающие, что данное ПО использовалось против ряда журналистов, активистов, диссидентов», — отметили в компании.

Читайте FaceNews в Google Новости

Популярные видео на YouTUBE

Американець дозволив змії з'їсти себе живцем і записав усе на камеру (відео)
У Росії вчителі шкіл вділи шоломи з фольги для захисту від опромінення супутниками НАТО (відео)
Іспанію затопило! Повінь зносить будинки, загинули понад 70 людей, десятки зниклих (відео)
"Краще таке на Курщині, ніж на Сумщині": росіяни знищили до щебня своє ж село (відео)
Росіяни знищили будинок Артема Пивоварова: співак розридався під час концерту (відео)
Крокодил у Малайзії з'їв рибалку: на відео дістають його рештки з живота звіра
Російські окупанти скинули за раз 3 КАБи на багатоповерхівку в Купʼянську: відео вибухів
ГУР вдарило по російській базі безпілотників у Сирії (відео)
Все видео

Лента новостей

Палає літак із понад 90 росіянами на борту: подробиці та відео
🕑 4 години 37 хвилин тому
"Справжня м'ясорубка": соратник Трампа висловився про завершення війни в Україні
🕑 4 години 58 хвилин тому
"Найбагатша країна Європи": Трамп домовиться про вигідну для України мирну угоду
🕑 вчора
"Розстрільні списки": Росія планувала вбити вчителів, ветеранів, журналістів, науковців, священників
🕑 вчора
Війська КНДР вже у Маріуполі та під Харковом, і готуються до штурмів
🕑 позавчора
Все про натяжні стелі для вашої вітальні
🕑 позавчора
Прицелы для профессионалов: как создать идеальную конфигурацию в КС 2
🕑 позавчора
Росіяни окупували ще один населений пункт на Донбасі
🕑 3 дні тому
Росія на вихідних вдарила по 3 з 5 працюючих ТЕС в Україні, що належать ДТЕК
🕑 3 дні тому
Зупинять "м'ясні" штурми росіян: США вперше передадуть Україні протипіхотні міни
🕑 4 дні тому
У Києві в ДТП загинув викладач тактичної медицини з США Майк Меолі
🕑 4 дні тому
У Болгарії відкрилось секретне консульство Росії
🕑 16-11-2024 в 13:26
Племінник "слуги" Косая здає елітні апартаменти в Еміратах росіянину
🕑 16-11-2024 в 12:20
До Києва з неоголошеним візитом прибув глава МЗС Японії
🕑 16-11-2024 в 11:16
Огляд автомобільного тримача Pitaka MagEZ Car Mount Pro 2
🕑 16-11-2024 в 10:56
Все новости