Apple усунула ряд серйозних вразливостей, які дозволяли отримувати несанкціонований доступ до камери iPhone. Баги виявив хакер Райан Пікріт у браузері Safari. За цю ініціативу він одержав 75 000 доларів на рамках програми Apple Bug Bounty Program.
iOS вважається найбезпечнішою мобільною операційною системою. Apple витратила роки на посилення свого захисту, щоб користувачі iPhone і iPad не турбувалися про те, що їхні пристрої можуть бути скомпрометовані і дані піддатися ризику.
Однак, як це часто буває з програмним забезпеченням, існують вразливості, які залишаються непоміченими. Пікріт виявив у Safari не менше семи, три з яких дозволяли отримати доступ до камери за допомогою шкідливого коду.
Баги в Safari
Zero-day можна було використовувати для надання дозволів доступу до камери і мікрофону. Все, що для цього було необхідно, це переконати користувача iPhone відвідати шкідливий сайт. Уразливості були виявлені в грудні минулого року.
«Подібний баг демонструє, чому користувачі не повинні бути повністю впевнені у безпеці своєї камери, незалежно від операційної системи», – підкреслює Пікріт.
Негайне рішення Apple
Хакер негайно повідомив про свої знахідки в Apple, після чого три найсерйозніших бага, які дозволяли отримати доступ до камери були усунені в кінці січня з оновленням Safari 13.0.5. Решта менш серйозні вразливості компанія виправила в оновленні Safari 13.1, яке вийшло 24 березня.
Пікріт зазначає, що йому дуже сподобалося працювати з командою безпеки продуктів Apple. Він планує направити отримані гроші на покупку нових пристроїв для пошуку вразливостей. «Я дуже радий, що Apple скористалася допомогою спільноти дослідників безпеки», – додав хакер.