Student załatał dziurę, która dawała dostęp do kamerki w macOS. Apple zapłacił mu kupę kasy

Programy typu bug bounty to stara jak świat praktyka. Prowadzą je największe firmy technologiczne, które nagradzają niezależnych programistów za znalezienie luki w ich zabezpieczeniach. Dzięki temu osoby trzecie, gdy tylko zauważą i udokumentują błąd, otrzymują gratyfikację finansową, co zniechęca do prób monetyzowania luk w nielegalny sposób.

W ostatnim czasie całkiem sporą nagrodę w swoim programie bug bounty wypłacił Apple. Producent komputerów Mac miał dziurę w oprogramowaniu zarządzającym kamerkami internetowymi, co mogli wykorzystać cyberprzestępcy. Lukę wykrył Ryan Pickren, który już w przeszłości udokumentował inne błędy w oprogramowaniu kamer w iPhone'ach oraz komputerach z rodziny Mac.

Błąd, na który uwagę zwrócił Ryan Pickren, został już załatany. Usterka była związana z przeglądarką Safari oraz iCloud Sharing, a atak na komputery Mac można było przeprowadzić (przynajmniej w teorii) poprzez odpowiednie przygotowanie strony internetowej. Po wejściu na spreparowaną przez hipotetycznego cyberprzestępcę witrynę ten mógł uzyskać nieskrępowany dostęp do kamery.

Z wykorzystaniem luki opisanej przez Ryana Pickrena można było dostać się do kont użytkownika (iCloud, Facebook, PayPal itp.) oraz uruchomić zdalnie nie tylko kamerę, ale również mikrofon. Do tego atakujący otrzymywał dostęp do udostępniania ekranu oraz potencjalnie do wszystkich plików. Tyle dobrego, że dioda nagrywania przy kamerze cały czas się zapalała, więc dało się zauważyć, że coś jest nie tak.

Jak na razie nie wiadomo, czy ktoś faktycznie wykorzystał tego typu atak w praktyce, czy też udało się załatać dziurę, zanim został on wykonany. Apple zapłacił odkrywcy tego błędu za wykrycie luki związanej z mechanizmem archiwizowania stron internetowych dość sporo, czyli wspomniane wcześniej 100,5 tys. dol. Maksymalna nagroda w ramach programu to z kolei 1 mln dol.