Apple заплатила $100 тыс. студенту, сумевшему взломать Mac через браузер

Apple заплатила $100 тыс. студенту, сумевшему взломать Mac через браузер

Американский студент Райан Пикрен, изучающий кибербезопасность, нашел новый способ получить доступ к интернет-аккаунтам пользователя Apple Mac, а также к веб-камере и другим частям компьютера.

В качестве награды за это Apple выплатила ему $100 500. Студент, который раньше уже находил уязвимости в камерах iPhone и Mac, получил, возможно, самую крупную в истории выплату от Apple, пишет AppleInsider, на которое ссылается 3DNews.

По словам Пикрена, новая уязвимость связана с серией проблем с Safari и iCloud, которые Apple уже исправила. До того, как проблемы были исправлены, вредоносный сайт мог запустить атаку, используя бреши в безопасности.

В полном описании эксплойта указано, что он дает злоумышленнику полный доступ ко всем учетным записям пользователя, от iCloud в PayPal, а также разрешения на использование микрофона, камеры и демонстрацию содержимого экрана. Используя эту уязвимость, злоумышленник может получить полный доступ к файловой системе. Это может быть реализовано благодаря системе, которую браузер Safari использует для сохранения локальных копий веб-сайтов.

Стоит отметить, что возможность атаки с использованием уязвимости в веб-архиве Safari описывалась еще в 2013 году. По словам Пикрена, тот факт, что уязвимость просуществовала до нашего времени, означает, что Apple не считала взлом с помощью веб-архива реалистичным, когда впервые внедрила систему хранения локальных копий веб-сайтов в Safari.

«Конечно, это решение было принято почти десять лет назад, когда модель безопасности браузера еще не была такой зрелой, как сегодня, – говорит Пикрен. – До Safari 13 пользователю даже не было никаких предупреждений, прежде чем веб-сайт загружал произвольные файлы. Поэтому разместить на компьютере жертвы фальшивый файл веб-архива было легко».

Apple заплатила Пикрену $100 500 в рамках своей программы обнаружения ошибок в ПО. Напомним, что максимальная награда, предусмотренная программой, достигает $1 млн. Стоит отметить, что Apple не раз критиковали за слишком низкие выплаты в рамках программы поиска уязвимостей и за то, что она медленно исправляла обнаруженные энтузиастами ошибки.

Источник: Afn.kz