Az almás vállalat a történetének legmagasabb jutalmában részesítette azt az etikus hackert, aki egy hibát kihasználva az iPhone után a Macet is feltörte.
Az almás vállalat a történetének legmagasabb jutalmában részesítette azt az etikus hackert, aki egy hibát kihasználva az iPhone után a Macet is feltörte.
A technológiai vállalatoknál már jól bevett szokás, hogy pénzzel jutalmazzák azokat, akik valamilyen sebezhetőséget találnak a rendszereikben, melyeket aztán jelentenek nekik javításra.
2019-ben például egy Ryan Pickren nevű fiatal diák képes volt távolról feltörni egy iPhone kameráját és mikrofonját, amiért az Apple akkor 75.000 dolláros jutalomban részesítette. Most ugyanez a kiberbiztonságról tanuló egyetemista egy exploitot kihasználva sikeresen eltérítette a Macet, amiért az almás cég nem kevesebb, mint 100.000 dollárt, mintegy 32 millió forintot utalt el neki.
Az egyetemista a Safari 15 sebezhetőségeit használta ki, mellyel kifejezetten mély és szenzitív adatokhoz nyert hozzáférést a Macen. A hiba első állomása, hogy egy dokumentum megosztását követően a Mac megjegyzi a fájl megnyitásához szükséges engedélyt, vagyis nem kérdez rá semmire, ha újra megnyitásra kerülne ugyanaz a csomag. Igen ám, csakhogy a megosztott dokumentumok távolról módosíthatóak maradnak, olyannyira, hogy más fájltípusra – akár végrehajtható fájlra is át lehet állítani anélkül, hogy a rendszer ezt észlelné.
Ezáltal pedig Pickren képes volt egy elsőre teljesen ártalmatlannak tűnő dokumentumot vagy képet rosszindulatú szoftverré változtatni úgy, hogy a Mac azt kérdés nélkül lefuttatja. Ezután már csak az volt a feladat, hogy rávegye a Safarit, hogy megnyissa ezt a fájlt úgy, hogy a Gatekeeper ne lépjen működésbe.
Ezzel a módszerrel pedig nemcsak a Mac kamerájához és mikrofonjához kapott hozzáférést, melyeket távolról ki-be tudott kapcsolgatni, hanem minden olyan weboldalhoz is, amit az áldozat valaha is meglátogatott. Vagyis a támadó ilyen módon az iCloud, a PayPal, a Facebook, a Gmail és így tovább fiókjait is könnyedén feltörheti.
A fiatal, de nagyon is profi kiberbiztonsági szakértőnek készülő Ryan Pickren a sebezhetőséget azonnal, 2021 július közepén jelentette az Apple-nek, amit a napokban-hetekben javítottak ki teljesen. A diák ezért 100.500$ fejpénzt kapott, ami Pickren szerint a legmagasabb összeg, amelyet a vállalat valaha is kifizetett a biztonsági programja keretében.
via – 9to5mac
12 év után búcsúzunk: Heteken belül nevet vált a Telenor – senki nem ismer majd rá
