REKLAMA

Student załatał dziurę, która dawała dostęp do kamerki w macOS. Apple zapłacił mu kupę kasy

Apple miał dziurę w swoim oprogramowaniu, którą pomógł załatać pewien student. Firmę kosztowało to aż 100,5 tysiąca dolarów.

apple bug bounty mac safari
REKLAMA

Programy typu bug bounty to stara jak świat praktyka. Prowadzą je największe firmy technologiczne, które nagradzają niezależnych programistów za znalezienie luki w ich zabezpieczeniach. Dzięki temu osoby trzecie, gdy tylko zauważą i udokumentują błąd, otrzymują gratyfikację finansową, co zniechęca do prób monetyzowania luk w nielegalny sposób.

REKLAMA

Apple wypłacił 100,5 tysiąca dolców za błąd w macOS studentowi

W ostatnim czasie całkiem sporą nagrodę w swoim programie bug bounty wypłacił Apple. Producent komputerów Mac miał dziurę w oprogramowaniu zarządzającym kamerkami internetowymi, co mogli wykorzystać cyberprzestępcy. Lukę wykrył Ryan Pickren, który już w przeszłości udokumentował inne błędy w oprogramowaniu kamer w iPhone'ach oraz komputerach z rodziny Mac.

Błąd, na który uwagę zwrócił Ryan Pickren, został już załatany. Usterka była związana z przeglądarką Safari oraz iCloud Sharing, a atak na komputery Mac można było przeprowadzić (przynajmniej w teorii) poprzez odpowiednie przygotowanie strony internetowej. Po wejściu na spreparowaną przez hipotetycznego cyberprzestępcę witrynę ten mógł uzyskać nieskrępowany dostęp do kamery.

A taki nieautoryzowany dostęp do kamery w komputerze Mac ze względu na błąd w Safari to był dopiero początek.

REKLAMA

Z wykorzystaniem luki opisanej przez Ryana Pickrena można było dostać się do kont użytkownika (iCloud, Facebook, PayPal itp.) oraz uruchomić zdalnie nie tylko kamerę, ale również mikrofon. Do tego atakujący otrzymywał dostęp do udostępniania ekranu oraz potencjalnie do wszystkich plików. Tyle dobrego, że dioda nagrywania przy kamerze cały czas się zapalała, więc dało się zauważyć, że coś jest nie tak.

Jak na razie nie wiadomo, czy ktoś faktycznie wykorzystał tego typu atak w praktyce, czy też udało się załatać dziurę, zanim został on wykonany. Apple zapłacił odkrywcy tego błędu za wykrycie luki związanej z mechanizmem archiwizowania stron internetowych dość sporo, czyli wspomniane wcześniej 100,5 tys. dol. Maksymalna nagroda w ramach programu to z kolei 1 mln dol.

REKLAMA
Najnowsze
REKLAMA
REKLAMA
REKLAMA