Хакер обнаруживает в Safari серию эксплойтов, которые могут иметь ужасающие последствия для пользователей iPhone, iPad и Mac.
Недавно в разрешениях приложений Apple был обнаружен эксплойт, который мог предоставлять доступ к камерам, микрофонам и экранам людей на iOS и MacOS. Как и большинство эксплойтов и хаков, этот использует предположения, сделанные разработчиками систем разрешений Apple, и взаимодействует с этими настройками так, как эти дизайнеры не учли. Это не то, с чем мог бы когда-либо столкнуться обычный пользователь, но осведомленный хакер мог бы использовать этот эксплойт ужасающим образом.
«Хакером» в данном случае является Райан Пикрен, которого на данный момент можно считать интернет-известным. Он сделал себе имя как хакер по контракту, которому поручено использовать свои навыки, чтобы помогать организациям обнаруживать и закрывать дыры в их сетевой безопасности. Его притязания на славу одновременно впечатляют и тревожат, поскольку он достиг невероятных подвигов технического вторжения. После непродолжительной стычки с судебной системой за незаконный взлом футбольной команды студенческого соперника, он решил использовать свои силы во благо и начать карьеру в поисках наград за ошибки в United Airlines.
Продолжайте прокручивать, чтобы продолжить чтение Нажмите кнопку ниже, чтобы начать эту статью в режиме быстрого просмотра.
К счастью, Пикрен на нашей стороне, поскольку его обнаружение недостатка безопасности с разрешениями iOS было передано Apple и исправлено. Проблема возникла из-за того, как устройства Apple запрашивают доступ к оборудованию устройства. Типичное приложение предложит пользователю предоставить ему доступ к таким инструментам, как камера, календарь, контакты и т. Д. Это всплывающее окно знакомо любому пользователю смартфона. Однако собственные приложения Apple, такие как Safari, имеют практически автоматический доступ к функциям устройства. Затем Safari может предоставить этот доступ к веб-сайтам, которые посещает пользователь, чтобы облегчить такие вещи, как веб-версии Skype и Zoom, получить мгновенный доступ к камере и микрофону телефона для видеоконференцсвязи. Это удобство, однако, также ведет к этой уязвимости.
Как в Safari могли открываться камеры людей
Сообщение в блоге Райана Пикрена об этой проблеме дает исчерпывающе подробное объяснение того, как все это работает, но чрезвычайно сжатая версия заключается в том, что он смог обмануть Safari, создав ложное предположение о том, какие веб-сайты просматривает пользователь. С помощью хитроумных сценариев ему удалось убедить Safari в том, что веб-адрес и его содержимое совпадают с адресом другого доверенного веб-сайта, и заставить браузер предоставить поддельному сайту доступ к устройству.
Это, опять же, не то, что мог бы сделать любой средний хакер, но в реальной жизни это могло означать, что камера и микрофон iPhone любого человека могли быть включены и настроены на запись, если они посетили неправильные веб-сайты. Более того, это могло быть сделано без ведома пользователя, даже если бы они только посещали сайты, которые они считали безопасными . По сути, это худший кошмар слежки для всех. К счастью, Apple вместе с Пикреном помогли решить эту проблему и устранили дыры, вызвавшие ее в прошлом месяце. За свою работу хакер был вознагражден 75000 долларов.
Источник: Райан Пикрен