Американець “хакнув” камеру в Mac і отримав $100 тис. від Apple
Фахівець у галузі кібербезпеки Райан Пікрен отримав від компанії Apple 100 тисяч доларів за те, що зумів у 2019 році зламати камеру в Mac. У корпорації оцінили рівень загрози та заплатили йому пристойну суму.
Він використав для доступу до веб-камери та мікрофонів комп’ютерів під управлінням macOS ряд вразливостей у сервісі iCloud Sharing та браузері Safari 15-ї версії.
«Хоча цей метод вимагає, щоб жертва натиснула «відкрити» у спливаючому вікні з мого веб-сайту, це призводить до більшого, ніж просто отримання дозволів на доступ до мультимедіа. Він дає зловмиснику повний доступ до всіх веб-сайтів, які жертва коли-небудь відвідувала. Це означає, що, крім включення вашої камери, мій метод також дозволяє зламати ваші облікові записи iCloud, PayPal, Facebook, Gmail та інші», – розповів Райан.
Вивчаючи програмний код продуктів Apple, Райан виявив програму під назвою ShareBear. Це пов’язано з функцією спільного використання документів iCloud Sharing. Суть у тому, що після прийняття запрошення на спільну роботу з документом система запам’ятовує це і згодом просто відкриває цей файл без додаткових перевірок. Як виявилося, після цього вихідний файл можна замінити на будь-який інший, у тому числі шкідливий, який запускає виконання коду.
Apple виправила знайдені Райаном уразливості на початку 2022 року. За їхнє виявлення він отримав від компанії винагороду в розмірі $100 500. За його словами, це найбільша сума, яку Apple колись виплачувала в рамках своєї програми безпеки. До речі, за злом iPhone у 2019-му американська фірма заплатила йому $75 000.
Докладніше про знайдену Райаном вразливість можна почитати на його сайті.