A technológiai vállalatoknál már jól bevett szokás, hogy pénzzel jutalmazzák azokat, akik valamilyen sebezhetőséget találnak a rendszereikben, melyeket aztán jelentenek nekik javításra.
2019-ben például egy Ryan Pickren nevű fiatal diák képes volt távolról feltörni egy iPhone kameráját és mikrofonját, amiért az Apple akkor 75.000 dolláros jutalomban részesítette. Most ugyanez a kiberbiztonságról tanuló egyetemista egy exploitot kihasználva sikeresen eltérítette a Macet, amiért az almás cég nem kevesebb, mint 100.000 dollárt, mintegy 32 millió forintot utalt el neki.
Az egyetemista a Safari 15 sebezhetőségeit használta ki, mellyel kifejezetten mély és szenzitív adatokhoz nyert hozzáférést a Macen. A hiba első állomása, hogy egy dokumentum megosztását követően a Mac megjegyzi a fájl megnyitásához szükséges engedélyt, vagyis nem kérdez rá semmire, ha újra megnyitásra kerülne ugyanaz a csomag. Igen ám, csakhogy a megosztott dokumentumok távolról módosíthatóak maradnak, olyannyira, hogy más fájltípusra – akár végrehajtható fájlra is át lehet állítani anélkül, hogy a rendszer ezt észlelné.
Ezáltal pedig Pickren képes volt egy elsőre teljesen ártalmatlannak tűnő dokumentumot vagy képet rosszindulatú szoftverré változtatni úgy, hogy a Mac azt kérdés nélkül lefuttatja. Ezután már csak az volt a feladat, hogy rávegye a Safarit, hogy megnyissa ezt a fájlt úgy, hogy a Gatekeeper ne lépjen működésbe.
Ezzel a módszerrel pedig nemcsak a Mac kamerájához és mikrofonjához kapott hozzáférést, melyeket távolról ki-be tudott kapcsolgatni, hanem minden olyan weboldalhoz is, amit az áldozat valaha is meglátogatott. Vagyis a támadó ilyen módon az iCloud, a PayPal, a Facebook, a Gmail és így tovább fiókjait is könnyedén feltörheti.
A fiatal, de nagyon is profi kiberbiztonsági szakértőnek készülő Ryan Pickren a sebezhetőséget azonnal, 2021 július közepén jelentette az Apple-nek, amit a napokban-hetekben javítottak ki teljesen. A diák ezért 100.500$ fejpénzt kapott, ami Pickren szerint a legmagasabb összeg, amelyet a vállalat valaha is kifizetett a biztonsági programja keretében.
via – 9to5mac
Bódi Dániel 2024.02.04. - Hiába adja magát a Csillagkapu hatalmas univerzuma, a játékfejlesztők nem különösebben…
2024.02.04. - A Warzone és Modern Warfare III második közös szezonja február 7-én érkezik a…
2024.02.04. - A ReactOS egy nyílt forrású projekt, melynek célja, hogy egy mikrokernel alapú, a Windows NT, Windows 2000 és XP alkalmazásaival és drivereivel kompatibilis operációs…
Bódi Dániel 2023.02.04. - A Star Wars Outlaws nem csak az utóbbi, hanem úgy en…
2024.02.04. - A 2023-as év hatalmas vízválasztó volt a Counter-Strike széria életében. A CS:GO 2012-es…
2024.02.04. - Az Nvidia mostanra végzett a januári kiszórással. Az elmúlt időszakban megérkezett az RTX…