Apple vyplatil 75 000 dolarů hackerovi za identifikaci několika zero-day zranitelností v jeho softwaru, z nichž některé by mohly být použity k únosu fotoaparátu na MacBooku nebo iPhone , podle Forbes .
Zranitelnost zero-day se týká bezpečnostní díry v softwaru, kterou vývojáři softwaru a veřejnost neznají, ačkoli ji již mohou znát útočníci, kteří ji v tichosti zneužívají.
Bezpečnostní výzkumník Ryan Pickren údajně objevil zranitelnosti v Safari poté, co se rozhodl „zatlouct prohlížeč nejasnými rohovými pouzdry“, dokud nezačal vykazovat podivné chování.
Lovec brouků našel celkem sedm exploitů. Chyby se týkaly způsobu, jakým Safari analyzoval Uniform Resource Identifiers, spravoval původ webu a inicializoval zabezpečené kontexty, a tři z nich mu umožnily získat přístup ke kameře tím, že oklamal uživatele, aby navštívil škodlivý web.
'Chyba, jako je tato, ukazuje, proč by si uživatelé nikdy neměli být zcela jisti, že jejich fotoaparát je bezpečný,' řekl Pickren, 'bez ohledu na operační systém nebo výrobce.'
Pickren oznámil svůj výzkum prostřednictvím programu Apple Bug Bounty v prosinci 2019. Apple okamžitě ověřil všech sedm chyb a o několik týdnů později dodal opravu řetězce zabíjení fotoaparátu. Využití fotoaparátu bylo opraveno Safari 13.0.5 , vydané 28. ledna. Zbývající zranitelnosti zero-day, které Apple považoval za méně závažné, byly opraveny Safari 13.1 , vydaný 24. března.
Jablko otevřel své bug bounty program všem bezpečnostním výzkumníkům v prosinci 2019. Předtím byl program odměňování chyb společnosti Apple založen na pozvánkách a nebyla zahrnuta zařízení bez iOS. Apple také zvýšil maximální velikost odměny z 200 000 $ za exploit na 1 milion $ v závislosti na povaze bezpečnostní chyby.
Při odesílání zpráv musí výzkumníci uvést podrobný popis problému, vysvětlení stavu systému, kdy exploit funguje, a dostatek informací, aby Apple mohl problém spolehlivě reprodukovat.
V letošním roce Apple plánuje poskytnout prověřeným a důvěryhodným bezpečnostním výzkumníkům a hackerům „dev“ iPhony nebo speciální iPhony, které poskytují hlubší přístup k základnímu softwaru a operačnímu systému, což usnadní odhalení zranitelností.
Tyto iPhony jsou jsou poskytovány jako součást nadcházejícího programu iOS Security Research Device Program společnosti Apple, jehož cílem je povzbudit další bezpečnostní výzkumníky, aby odhalili zranitelnosti, což nakonec povede k bezpečnějším zařízením pro spotřebitele.
Štítky: exploit , Safari , bug bounty
Populární Příspěvky