Apple заплатила рекордні $100 тисяч студенту, який знайшов спосіб зламати Mac
Американський студент Райан Пікрен (Rayan Pickren), який вивчає кібербезпеку, знайшов новий спосіб отримати доступ до інтернет-акаунтів користувача Apple Mac, а також до веб-камери та інших частин комп’ютера. Нагороду за це Apple виплатила йому $100,5 тис. Студент, який раніше вже знаходив уразливості в камерах iPhone і Mac, отримав, можливо, найбільшу в історії виплату від Apple.
За словами Пікрена, нова вразливість пов’язана із серією проблем із Safari та iCloud, які Apple вже виправила. До того, як проблеми були виправлені, шкідливий сайт міг запустити атаку, використовуючи проломи в безпеці.
У повному описі експлойту говориться, що він дає зловмиснику повний доступ до всіх облікових записів користувача, від iCloud до PayPal, а також дозволи на використання мікрофона, камери та демонстрацію вмісту екрана. Використовуючи цю вразливість, зловмисник може отримати повний доступ до файлової системи. Це може бути реалізовано завдяки системі, яку браузер Safari використовує для збереження локальних копій веб-сайтів.
Варто відзначити, що можливість атаки з використанням вразливості у веб-архіві Safari описувалася ще у 2013 році. За словами Пікрена, той факт, що вразливість проіснувала до нашого часу, означає, що Apple не вважала злом за допомогою веб-архіву реалістичним, коли вперше впровадила систему збереження локальних копій веб-сайтів у Safari. «Звичайно, це рішення було ухвалено майже десять років тому, коли модель безпеки браузера ще не була такою зрілою, як сьогодні, – каже Пікрен. — До Safari 13 користувачеві навіть не показувалися жодні попередження, перш ніж веб-сайт завантажував довільні файли. Тому розмістити на комп’ютері жертви фальшивий файл веб-архіву було легко».
Apple не прокоментувала проблему і не повідомила, чи вона використовувалася зловмисниками. Компанія заплатила Пікрену $100 500 у межах своєї програми виявлення помилок у ПЗ. Нагадаємо, що максимальна нагорода, передбачена програмою, сягає 1 мільйона доларів. Варто зазначити, що Apple неодноразово критикували за занадто малі виплати в рамках програми пошуку вразливостей та за те, що вона повільно виправляла виявлені ентузіастами помилки.