Ένας χάκερ ανακαλύπτει μια σειρά από εκμεταλλεύσεις στο Safari που θα μπορούσαν να έχουν τρομακτικές συνέπειες για χρήστες iPhone, iPad και Mac.
Πρόσφατα ανακαλύφθηκε μια εκμετάλλευση στις άδειες εφαρμογών της Apple που θα μπορούσαν να έχουν παραχωρήσει πρόσβαση σε κάμερες, μικρόφωνα και οθόνες ατόμων σε iOS και MacOS. Όπως τα περισσότερα exploits και hacks, αυτό εκμεταλλεύεται τις παραδοχές που έκαναν οι σχεδιαστές των συστημάτων αδειών της Apple και αλληλεπιδρά με αυτές τις ρυθμίσεις με τρόπο που αυτοί οι σχεδιαστές απέτυχαν να λάβουν υπόψη τους. Δεν είναι κάτι που ο καθημερινός χρήστης θα είχε συναντήσει ποτέ, αλλά ένας ενημερωμένος χάκερ θα μπορούσε να το χρησιμοποιήσει με τρομακτικό τρόπο.
Ο «χάκερ» σε αυτήν την περίπτωση είναι ο Ryan Pickren, ο οποίος θα μπορούσε να θεωρηθεί διάσημος στο Διαδίκτυο σε αυτό το σημείο. Έκανε ένα όνομα για τον εαυτό του ως συμβαλλόμενος χάκερ, ο οποίος είναι υπεύθυνος για τη χρήση του σετ δεξιοτήτων του για να βοηθήσει τους οργανισμούς να ανακαλύψουν και να κλείσουν τρύπες στην online ασφάλεια τους. Οι ισχυρισμοί του για φήμη είναι εντυπωσιακοί και ανησυχητικοί καθώς πέτυχε κάποια απίστευτα κατορθώματα τεχνικής εισβολής. Μετά από μια σύντομη αντιπαράθεση με το δικαστικό σύστημα για ένα παράνομο χάκετ που έκανε σε μια ομάδα ποδοσφαίρου ενός συναδέλφου αντιπάλου, αποφάσισε να χρησιμοποιήσει τις δυνάμεις του για το καλό και να ξεκινήσει μια καριέρα κυνηγώντας τα bug bounties για την United Airlines.
Συνεχίστε την κύλιση για να συνεχίσετε να διαβάζετε Κάντε κλικ στο κουμπί παρακάτω για να ξεκινήσετε αυτό το άρθρο σε γρήγορη προβολή.
Ευτυχώς, Pickren είναι στο πλευρό μας καθώς η ανακάλυψή του σχετικά με το ελάττωμα ασφαλείας με δικαιώματα iOS έχει παραδοθεί στην Apple και διορθωθεί. Το ζήτημα προήλθε από τον τρόπο με τον οποίο οι συσκευές Apple ζητούν πρόσβαση στο υλικό μιας συσκευής. Μια τυπική εφαρμογή θα ζητήσει από τον χρήστη να του δώσει πρόσβαση σε εργαλεία όπως η κάμερα, το ημερολόγιο, οι επαφές και ούτω καθεξής. Κάθε χρήστης smartphone είναι εξοικειωμένος με αυτό το αναδυόμενο παράθυρο. Ωστόσο, οι εφαρμογές πρώτου μέρους της Apple, όπως το Safari, έχουν σχεδόν αυτόματη πρόσβαση στις λειτουργίες της συσκευής. Το Safari είναι τότε ικανό να παρέχει αυτήν την πρόσβαση σε ιστότοπους που επισκέπτεται ένας χρήστης, για να διευκολύνει πράγματα όπως οι εκδόσεις ιστού του Skype και του Zoom να έχουν άμεση πρόσβαση στην κάμερα ενός τηλεφώνου και μικρόφωνο για βιντεοδιάσκεψη. Αυτή η άνεση, ωστόσο, είναι επίσης η λεωφόρος που οδηγεί σε αυτήν την εκμετάλλευση.
Πώς θα μπορούσε το Safari να έχει εκτεθεί κάμερες ανθρώπων
Η ανάρτηση ιστολογίου του Ryan Pickren σχετικά με αυτό το ζήτημα δίνει μια εξαντλητικά λεπτομερή εξήγηση του πώς λειτουργεί όλα αυτά, αλλά η εξαιρετικά συμπυκνωμένη έκδοση είναι ότι κατάφερε να εξαπατήσει το Safari σε μια ψευδή υπόθεση για τους ιστότοπους που βλέπει ένας χρήστης. Μέσω κάποιου έξυπνου σεναρίου, κατάφερε να πείσει το Safari ότι μια διεύθυνση ιστού και το περιεχόμενό της ήταν τα ίδια με έναν διαφορετικό - αξιόπιστο - ιστότοπο και οδήγησε το πρόγραμμα περιήγησης να δώσει πρόσβαση στον ψεύτικο ιστότοπο στη συσκευή.
Αυτό, πάλι, δεν θα μπορούσε να επιτύχει κάποιος μέσος χάκερ, αλλά στην άγρια φύση, αυτό θα μπορούσε να σήμαινε ότι η κάμερα και το μικρόφωνο iPhone κανενός θα μπορούσαν να ενεργοποιηθούν και να εγγραφούν εάν επισκέφτηκαν λάθος ιστότοπους. Επιπλέον, θα μπορούσε να επιτευχθεί χωρίς να γνωρίζει ο χρήστης, ακόμα κι αν το έκανε επισκέφθηκαν ιστότοπους που νόμιζαν ότι ήταν ασφαλείς . Είναι ουσιαστικά ο χειρότερος εφιάλτης παρακολούθησης όλων. Ευτυχώς, η Apple συνεργάστηκε με την Pickren για την επίλυση του προβλήματος και επιδιόρθωσε τις τρύπες που το προκάλεσαν τον περασμένο μήνα. Για τη δουλειά του, ο χάκερ επιβραβεύτηκε 75.000 $.
Πηγή: Ράιαν Πίκρεν