Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Американский студент Райан Пикрен (Rayan Pickren), изучающий кибербезопасность, нашёл новый способ получить доступ к интернет-аккаунтам пользователя Apple Mac, а также к веб-камере и другим частям компьютера. В награду за это Apple выплатила ему $100,5 тыс. Студент, ранее уже находивший уязвимости в камерах iPhone и Mac, получил, возможно, крупнейшую в истории выплату от Apple.
По словам Пикрена, новая уязвимость связана с серией проблем с Safari и iCloud, которые Apple уже исправила. До того, как проблемы были исправлены, вредоносный веб-сайт мог запустить атаку, используя бреши в безопасности.
В полном описании эксплойта говорится, что он даёт злоумышленнику полный доступ ко всем аккаунтам пользователя, от iCloud до PayPal, а также разрешения на использование микрофона, камеры и демонстрацию содержимого экрана. Используя эту уязвимость, злоумышленник может получить полный доступ к файловой системе устройства. Это может быть реализовано за счёт системы, которую браузер Safari использует для сохранения локальных копий веб-сайтов.
Стоит отметить, что возможность совершения атаки с использованием уязвимости в веб-архиве Safari описывалась ещё в 2013 году. По словам Пикрена, тот факт, что уязвимость просуществовала до нашего времени означает, что Apple не считала взлом с помощью веб-архива реалистичным, когда впервые внедрила систему сохранения локальных копий веб-сайтов в Safari. «Конечно, это решение было принято почти десять лет назад, когда модель безопасности браузера еще не была такой зрелой, как сегодня, — говорит Пикрен. — До Safari 13 пользователю даже не показывались никакие предупреждения, прежде чем веб-сайт загружал произвольные файлы. Поэтому разместить на компьютере жертвы поддельный файл веб-архива было легко».
Apple не прокомментировала проблему и не сообщила, использовалась ли она злоумышленниками. Компания заплатила Пикрену $100 500 в рамках своей программы обнаружения ошибок в ПО. Напомним, что максимальная награда, предусмотренная программой, достигает $1 миллиона. Стоит отметить, что Apple неоднократно критиковали за слишком малые выплаты в рамках программы поиска уязвимостей и за то, что она медленно исправляла обнаруженные энтузиастами ошибки.
Источник: