Американскиот студент за сајбер безбедност, Рајан Пикрен откри нов начин за пристап до интернет сметките на корисниците на Apple Mac, како и до веб камерата и другите делови од компјутерот. Како награда, Apple му плати 100.500 долари.
Студентот, кој претходно откри ранливост во камерите на iPhone и Mac, ја доби можеби најголемата исплата за откривање „баг“ досега од Apple, забележува Apple Insider. Пикрен вели дека новата ранливост е поврзана со серија проблеми со прелистувачот Safari и услугата iCloud, кои Apple веќе ги поправил.
Пред да се поправат проблемите, злонамерна веб-страница можеше да изврши напад користејќи безбедносни дупки. Во описот на „експлоитот“ се наведува дека на напаѓачот му дава целосен пристап до сите кориснички сметки, од iCloud до PayPal, како и дозволи за користење на микрофонот, камерата и споделувањето на екранот.
Користејќи ја оваа ранливост, напаѓачот може да добие целосен пристап до дата системот на Apple. Ова може да се направи преку системот што го користи прелистувачот Safari за складирање локални копии на веб-страни.
Можноста за напад на ранливост во веб-архивата на Safari беше опишана уште во 2013 година. Фактот дека ранливоста преживеа до денес значи дека Apple не го сметала за реално хакирањето на веб-архивата кога првпат го имплементира Safari системот за да се зачува локална копија на веб-сајтовите, коментира Пикрен.
„Се разбира, оваа одлука беше донесена пред речиси една деценија, кога безбедносниот модел на прелистувачот сè уште не беше толку зрел како што е денес“, вели Пикрен. „Пред Safari 13, на корисникот не му се ни покажуваа никакви предупредувања пред веб-страната да вчита случајни датотеки. Затоа, беше лесно да се стави лажна веб-архива на компјутерот на жртвата“.
Apple не го коментираше проблемот, ниту пак кажа дали хакерите веќе го искористиле. Компанијата му плати на Пикрен 100.500 долари како дел од нејзината корпоративна програма за поправка на грешки. Максималната награда обезбедена според оваа програма достигнува 1 милион американски долари.
Компанијата со седиште во Купертино постојано беше критикувана дека плаќала премалку за предметната програма за откривање на ранливости и за бавно поправање на грешки што ги пронашле ентузијастите.