Apple заплатила рекордные $100 тыс. студенту, который нашёл способ взломать Mac через браузер

Apple заплатила рекордные $100 тыс. студенту, который нашёл способ взломать Mac через браузер

Американский студент Райан Пикрен (Rayan Pickren), изучающий кибербезопасность, нашёл новый способ получить доступ к интернет-аккаунтам пользователя Apple Mac, а также к веб-камере и другим частям компьютера. В награду за это Apple выплатила ему $100,5 тыс. Студент, ранее уже находивший уязвимости в камерах iPhone и Mac, получил, возможно, крупнейшую в истории выплату от Apple.

Источник изображения: AppleInsider

По словам Пикрена, новая уязвимость связана с серией проблем с Safari и iCloud, которые Apple уже исправила. До того, как проблемы были исправлены, вредоносный веб-сайт мог запустить атаку, используя бреши в безопасности.

В полном описании эксплойта говорится, что он даёт злоумышленнику полный доступ ко всем аккаунтам пользователя, от iCloud до PayPal, а также разрешения на использование микрофона, камеры и демонстрацию содержимого экрана. Используя эту уязвимость, злоумышленник может получить полный доступ к файловой системе устройства. Это может быть реализовано за счёт системы, которую браузер Safari использует для сохранения локальных копий веб-сайтов.

Стоит отметить, что возможность совершения атаки с использованием уязвимости в веб-архиве Safari описывалась ещё в 2013 году. По словам Пикрена, тот факт, что уязвимость просуществовала до нашего времени означает, что Apple не считала взлом с помощью веб-архива реалистичным, когда впервые внедрила систему сохранения локальных копий веб-сайтов в Safari. «Конечно, это решение было принято почти десять лет назад, когда модель безопасности браузера еще не была такой зрелой, как сегодня, — говорит Пикрен. — До Safari 13 пользователю даже не показывались никакие предупреждения, прежде чем веб-сайт загружал произвольные файлы. Поэтому разместить на компьютере жертвы поддельный файл веб-архива было легко».

Apple не прокомментировала проблему и не сообщила, использовалась ли она злоумышленниками. Компания заплатила Пикрену $100 500 в рамках своей программы обнаружения ошибок в ПО. Напомним, что максимальная награда, предусмотренная программой, достигает $1 миллиона. Стоит отметить, что Apple неоднократно критиковали за слишком малые выплаты в рамках программы поиска уязвимостей и за то, что она медленно исправляла обнаруженные энтузиастами ошибки.


Влад Кулиев, Supreme2.Ru

Коды для вставки в блог\форум




Интересные новости
Незавершенная версия Windows 7 работает лучше VistaНезавершенная версия Windows 7 работает лучше Vista
Программист открыл заблокированные возможности Windows 7Программист открыл заблокированные возможности Windows 7
Quick Slide Show 2.32: создание flash-презентацийQuick Slide Show 2.32: создание flash-презентаций
Покупатели гоняются за старыми компьютерами ради Windows XP
Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009
Блок рекламы


Похожие новости

Вирус, который похищает личные данные, рассылают украинцам с письмом на электронную почтуВирус, который похищает личные данные, рассылают украинцам с письмом на электронную почту
Белый хакер нашёл способ создавать неограниченное количество Ethereum и получил за это $2 млнБелый хакер нашёл способ создавать неограниченное количество Ethereum и получил за это $2 млн
Apple выпустила macOS 12.2.1 с исправлением проблемы самопроизвольной разрядки некоторых MacBookApple выпустила macOS 12.2.1 с исправлением проблемы самопроизвольной разрядки некоторых MacBook
Уязвимость браузера Safari может привести к утечке данных и раскрытию личности пользователяУязвимость браузера Safari может привести к утечке данных и раскрытию личности пользователя
Недавнее обновление нарушает работоспособность браузера Google Chrome для iOSНедавнее обновление нарушает работоспособность браузера Google Chrome для iOS
В сети получила распространение программа RedLine, ворующая в браузерах пароли и данные банковских карточекВ сети получила распространение программа RedLine, ворующая в браузерах пароли и данные банковских карточек
Обновление BIOS нарушило работоспособность ПК и ноутбуков DellОбновление BIOS нарушило работоспособность ПК и ноутбуков Dell
Скрытые функции браузера Google Chrome, о которых не знают многие пользователиСкрытые функции браузера Google Chrome, о которых не знают многие пользователи
Microsoft выпустила для браузера Edge инструмент, позволяющий обнаружить утечки памятиMicrosoft выпустила для браузера Edge инструмент, позволяющий обнаружить утечки памяти
Настольная версия Google Chrome позволит создавать и редактировать скриншоты прямо в браузереНастольная версия Google Chrome позволит создавать и редактировать скриншоты прямо в браузере
Последние новости

Подгружаем последние новости