Новости Software

Apple заплатила рекордные $100 тыс. студенту, который нашёл способ взломать Mac через браузер

Американский студент Райан Пикрен (Rayan Pickren), изучающий кибербезопасность, нашёл новый способ получить доступ к интернет-аккаунтам пользователя Apple Mac, а также к веб-камере и другим частям компьютера. В награду за это Apple выплатила ему $100,5 тыс. Студент, ранее уже находивший уязвимости в камерах iPhone и Mac, получил, возможно, крупнейшую в истории выплату от Apple.

 Источник изображения: AppleInsider

Источник изображения: AppleInsider

По словам Пикрена, новая уязвимость связана с серией проблем с Safari и iCloud, которые Apple уже исправила. До того, как проблемы были исправлены, вредоносный веб-сайт мог запустить атаку, используя бреши в безопасности.

В полном описании эксплойта говорится, что он даёт злоумышленнику полный доступ ко всем аккаунтам пользователя, от iCloud до PayPal, а также разрешения на использование микрофона, камеры и демонстрацию содержимого экрана. Используя эту уязвимость, злоумышленник может получить полный доступ к файловой системе устройства. Это может быть реализовано за счёт системы, которую браузер Safari использует для сохранения локальных копий веб-сайтов.

Стоит отметить, что возможность совершения атаки с использованием уязвимости в веб-архиве Safari описывалась ещё в 2013 году. По словам Пикрена, тот факт, что уязвимость просуществовала до нашего времени означает, что Apple не считала взлом с помощью веб-архива реалистичным, когда впервые внедрила систему сохранения локальных копий веб-сайтов в Safari. «Конечно, это решение было принято почти десять лет назад, когда модель безопасности браузера еще не была такой зрелой, как сегодня, — говорит Пикрен. — До Safari 13 пользователю даже не показывались никакие предупреждения, прежде чем веб-сайт загружал произвольные файлы. Поэтому разместить на компьютере жертвы поддельный файл веб-архива было легко».

Apple не прокомментировала проблему и не сообщила, использовалась ли она злоумышленниками. Компания заплатила Пикрену $100 500 в рамках своей программы обнаружения ошибок в ПО. Напомним, что максимальная награда, предусмотренная программой, достигает $1 миллиона. Стоит отметить, что Apple неоднократно критиковали за слишком малые выплаты в рамках программы поиска уязвимостей и за то, что она медленно исправляла обнаруженные энтузиастами ошибки.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Tiny Tina’s Wonderlands показала лучший старт для новой франшизы 2K за последние годы 8 мин.
Разработчик The Legend of Zelda: Skyward Sword HD опроверг слухи о Switch-версии Twilight Princess 28 мин.
В новом финансовом отчёте Take-Two углядели указание на перенос мобильной версии сборника ремастеров GTA 30 мин.
Fall Guys пропадёт из Steam с переходом игры на условно-бесплатную модель, хотя разработчики обещали иное 32 мин.
Запуск Kerbal Space Program 2 перенесли в третий раз — теперь на 2023 год 57 мин.
Разработчики психоделического хоррора The Chant отказались от версий для PS4 и Xbox One 2 ч.
Разрабатываемый VK магазин приложений получит название RuStore 12 ч.
Видео: полноценный гоночный заезд и основы геймплея в новой демонстрации Bloodborne Kart 13 ч.
Fall Guys станет условно-бесплатной и выйдет на Xbox со Switch к концу июня 13 ч.
Слухи: Konami выпустит интерактивный тизер новой полноценной Silent Hill и цикл коротких историй из мира серии 14 ч.