Apple виплатила студенту рекорду суму за знайдену вразливість у Mac

Студент Райан Пікрен, який вивчає кібербезпеку, показав Apple, як зламування веб-камер Mac може зробити пристрої повністю відкритими для хакерів. Виявив вразливість у камерах iPhone і Mac, він отримав $100500. Як розповіли в Apple, це найбільша виплата від компанії, повідомляє Hubs.ua.

За даними Пікрена, нова вразливість веб-камери пов’язана із серією проблем із Safari та iCloud, які, за його словами, Apple вже виправила. До того, як вона була виправлена, шкідливий сайт міг запустити атаку, використовуючи ці недоліки.

У своєму повному описі вразливості Пікрен пояснює, що вона надасть зловмиснику повний доступ до всіх веб-аккаунтів, від iCloud до PayPal, а також дозвіл на використання мікрофона, камери та демонстрацію екрану.

Пікрен повідомляє, що той же злам зрештою означає, що зловмисник може отримати повний доступ до всієї файлової системи пристрою. Це буде зроблено за рахунок використання файлів webarchive Safari, системи, яку браузер використовує для збереження локальних копій веб-сайтів.

«Вражаюча особливість цих файлів полягає в тому, що вони вказують веб-джерело, в якому має відображатися вміст. Це відмінний трюк, що дозволяє Safari відновити контекст збереженого веб-сайту, але, як вказували автори Metasploit ще в 2013 році, якщо зловмисник зможе якимось чином змінити цей файл, він зможе ефективно реалізувати UXSS (універсальний міжсайтовий скриптінг)», — указав Пікрен.

Користувач повинен завантажити такий файл веб-архіву, а потім відкрити його. За словами Пікрена, це означало, що Apple не вважала це реалістичним сценарієм злому, коли вперше запровадила веб-архів Safari.

«Звичайно, це рішення було ухвалено майже десять років тому, коли модель безпеки браузера ще не була такою зрілою, як сьогодні», — уточнює Пікрен. —