AppleBezpečnosťSpravodajstvo

Hacker, ktorý poukázal na bezpečnostnú chybu v kamere iPhone telefónoch, si zarobil slušný balík peňazí

Etický hacker, ktorý poukázal na 7 bezpečnostných chýb kamery Apple zariadení, si zarobil slušný obnos peňazí.

Hackeri nemusia byť len „zlými“, a v skutku môže ísť aj celkom dobre platenú prácu. V súčasnosti hackerov delíme na dve všeobecné skupiny, takzvaný „Black Hat Hackeri“ a „White Hat hackeri, ktorí sú častokrát označovaný aj ako etickí hackeri. Vo svojej podstate robia veľmi podobnú činnosť, ako záškodníci, ale s tým rozdielom, že svoje vedomosti využívajú na pomoc a nie na vlastné obohatenie sa.

Dobrým príkladom je Ryan Pickern, zakladateľ spoločnosti BugPoc, ktorý predtým pracoval ako bezpečnostný inžinier v spoločnosti Amazon. Ryan si v posledných dňoch získal extra mediálnej podpory, a to vďaka odhaleniu viacerých chýb spojených s kamerou iPhone telefónov, za ktorých odhalenie zinkasoval celkom slušný obnos peňazí. Spoločnosť Apple mu vyplatila prostredníctvom programu Apple Security Bounty Program rovných 75-tisíc dolárov. Píše Ryan na svojom blogu.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

Chyby, pomocou ktorých útočník mohol získať prístup k Vašej kamere

Ryan odhalil chyby v prehliadači Safari, ktorý je rozšíreným prehliadačom obzvlášť v prípade iOS zariadení, pomocou ktorých mohol útočník získať prístup ku kamere smartfónu, prípadne tabletu alebo notebooku. Celkovo odhalil 7 zraniteľností, z ktorých 3 mohli byť využité na získanie prístupu ku kamere.

„Jednoducho povedané – chyba podviedla Apple, aby si myslel, že škodlivé webové stránky sú skutočne dôveryhodné. Urobilo to tak, že využilo niekoľko nedostatkov v tom, ako Safari analyzuje URL, spravuje pôvod na webe a inicializuje bezpečné kontexty, “ vysvetľuje Pickern.

V rámci svojho blogu Pickern vysvetľuje, že existuje pravidlo, že keď chce nejaká aplikácia alebo webová stránka pristupovať k častiam smartfónu, tak používateľ musí udeliť povolenie. Ale ako to býva zvykom, tak každé pravidlo, má výnimky. V tomto prípade ide o aplikácie spoločnosti Apple, ktoré majú prístup častiam smartfónu. Znamená to, že prehliadač Safari môže technicky pristupovať k týmto právam bez toho, aby žiadal o prístup. V spojitosti s novými webovými technológiami, ako je napríklad rozhranie MediaDevices Web API (bežne sa používa pri prenosoch WebRTC), umožňuje stránkam využívať povolenia Safari vrátane priameho prístupu k fotoaparátu bez udelenia extra povolenia.

„Ak si užívateľ zvolí vhodný prehliadač, ktorému môže dôverovať, všetka komunikácia WebRTC sa môže považovať za „bezpečnú“[…] Inými slovami, úroveň dôveryhodnosti poskytnutej používateľovi prostredníctvom WebRTC je priamo ovplyvnená dôverou používateľa v prehliadači.“

Pickern ďalej v rámci svojho blogu píše, že Safari sleduje nastavenia povolení jednotlivých webových stránok, aby umožnili webovým stránkam prístup k citlivému obsahu, ako je napríklad Vaša poloha, kamera a podobne, bez toho, aby vyžadovali povolenie. V prehliadači Safari > Predvoľby > Webové stránky vidíte, ktorým webový stránkam dôverujete.

Povolenia stranok_ktore kopiruje Safari
Zdroj: ryanpickren.com

Táto chyba zabezpečenia umožnila škodlivým webovým serverom maskovať sa ako dôveryhodné webové stránky, keď sa zobrazujú na stolných Safari (ako na počítačoch Mac) alebo Mobile Safari (ako na iPhone alebo iPad). Ak chcel škodlivý web získať prístup k fotoaparátu, všetko, čo musel urobiť, bolo maskovať sa ako dôveryhodná videokonferenčná webová stránka ako je napríklad Skype alebo Zoom.

Chyby, na ktoré Pickern narazil, boli nahlásené spoločnosti ešte v decembri minulého roka a odstránené boli v januári tohto roka.

Via hackread.com

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy
Tagy
Zobraziť komentáre
Close
Close