Təhlükəsizlik tədqiqatçıları iOS və MacOS-da veb kamera hack etmək üçün istifadə edilə bilən zəiflikləri tapdılar

Safari-də iOS və macOS üçün ən azı yeddi həssaslığı aşkar etdikdən sonra bir tədqiqatçı 75.000 dollarlıq səhv ödəmə aldı. Apple,

Rayan Pickren, keçmiş Amazon Veb xidməti təhlükəsizliyi (AWS) mühəndisləri, Apple Veb brauzerlərindəki bir sıra təhlükəsizlik qüsurlarını aşkar etməklə bəziləri casusluq üçün Mac və ya iPhone kameralarından istifadə edə biləcəklər. Veb-kamera hacking texnikasına üç sıfır günlük səhv daxildir.

Həmçinin bax:

Pickren, bütün tətbiqetmələrdən istifadəçilərə eyni şeyi kamera və mikrofona giriş imkanı verməsini tələb edir AppleTapdı ki, bunun öz tətbiqinə tətbiq edilməməsindən faydalanmaq mümkündür. Həssaslığı araşdıran mütəxəssis belə izah edir: "İOS və MacOS-da kamera təhlükəsizlik modelləri çox güclüdür. Bir sözlə, hər tətbiq standart əməliyyat xəbərdarlıq qutuları vasitəsi ilə əməliyyat sistemi tərəfindən idarə olunan açıq kamera / mikrofon icazələrinə sahib olmalıdır".

Davam etdi:

Ancaq bu qaydanın istisnaları var. Apple Tətbiqin özündə pulsuz kamera çıxışı var. Buna görə, Mobil Safari, texniki cəhətdən soruşmadan kameraya daxil ola bilər. Ayrıca, MediaDevices Web API (adətən WebRTC ötürülməsində istifadə olunur) kimi yeni veb texnologiyaları veb saytlara Safari icazəsini kameraya birbaşa daxil olmaq üçün istifadə etməyə imkan verir. Kimi veb əsaslı video konfrans proqramları üçün idealdır Skype və ya böyütmək. Ancaq … bu yeni veb əsaslı kamera texnologiyası əməliyyat sisteminin orijinal kamera təhlükəsizlik modelini xarab edir.

İşinin ətraflı texniki yazısında Pickren, Safari'nin URI'nin təyin etdiyi yola görə etibar edəcəyi təhlükəli bir veb saytına istifadəçiləri necə aldatmağın mümkün olduğunu izah edir. Safari'nin https://example.com, https://www.exmaple.com, http://example.com və saxta: //example.com arasındakı fərqlərdən necə kəşf etdiyini və faydalana biləcəyini izah edir. Veb kameranıza və Mikrofonunuza zərər verən Javascript təklif etmək.

Forbes-in bildirdiyinə görə, yeddi həssaslıq (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 və CVE-2020-9787) ) hamısı məsuliyyətlə Apple indi hər şey düzəldilib. "Qatil kamera zəncirinə" daxil edilə bilən üç günlük sıfırlar, 28 yanvarda buraxılan Safari 13-dür.0.5 yeniləmədə quraşdırılmışdır. Qalan dörd həssaslıq daha az ağır hesab olunur və 24 Martda çıxarılan Safari 13.1düzəldildi.

Şəkil krediti: Stockforlife / Shutterstock