الأخبار التكنولوجية والاستعراضات والنصائح!

اختراق كاميرا iPhone يعطي باحث أمان 75000 دولار من Apple

  • اكتشف باحث أمني سبع ثغرات يوم الصفر في Safari المحمول واستفاد منها لاختطاف كاميرا iPhone.
  • كاميرا iPhone اخترقت الباحث شيك بقيمة 75000 دولار من Apple.
  • Apple إصلاح الاستغلال عبر تحديث Safari في وقت سابق من هذا العام.
  • قم بزيارة صفحة BGR الرئيسية لمزيد من القصص.

Apple دفع مؤخرًا قراصنة قبعة بيضاء 75000 دولار بعد أن اكتشف عددًا من ثغرات يوم الصفر التي كان من الممكن أن تسمح لممثل ضار بالوصول إلى الكاميرا على جهاز iPhone أو MacBook الخاص بالمستخدم.

تم تسليط الضوء عليه في الأصل عبر فوربس، سابق Amazon كان مهندس الأمن المسمى Ryan Pickren فضوليًا بشأن استكشاف وإيجاد ثغرات أمنية محتملة على iPhone.

يقرأ التقرير جزئياً:

خلال كانون الأول (ديسمبر) 2019 ، قرر بيكرين وضع فكرة أن "البحث عن الأخطاء هو كل شيء عن إيجاد الافتراضات في البرمجيات وانتهاك تلك الافتراضات لمعرفة ما يحدث" للاختبار. اختار الخوض في Apple Safari لنظامي iOS و macOS ، "لتصفح المتصفح بحالات زاوية غامضة" حتى يتم الكشف عن سلوك غريب. ركز بيكرين على النموذج الأمني ​​للكاميرا ، والذي اعترف بسهولة أنه "مكثف للغاية".

في الواقع، Apple يقوم حقًا بإغلاق كاميرا iPhone ويتطلب إذنًا صريحًا من المستخدمين في أي وقت يريد تطبيق تابع لجهة خارجية الوصول إليها. ومع ذلك ، اكتشف Pickren أن الإذن الصريح غير مطلوب عندما يأتي الطلب مباشرة من آخر Apple تطبيق.

في المقابل ، بدأ Pickren في العمل وبدأ يبحث عن نقاط الضعف في Safari المحمولة التي ستسمح له بالوصول إلى كاميرا iPhone. في نهاية المطاف ، لم يجد Pickren واحدًا ، بل سبعة! ثغرات يوم الصفر في Safari للجوال. من هناك ، تمكن Pickren من ربط ثلاثة منهم معًا والوصول إلى كاميرا iPhone.

تضمنت نقاط الضعف الطريقة التي قام بها Safari بتحليل معرفات الموارد الموحدة ، وأصول الويب المُدارة ، وتهيئة السياقات الآمنة. نعم ، تضمن ذلك خداع مستخدم لزيارة موقع ويب ضار. ومع ذلك ، يمكن لذلك الموقع الإلكتروني الوصول مباشرة إلى الكاميرا بشرط أن يكون قد وثق مسبقًا في موقع مؤتمرات الفيديو مثل Zoom ، على سبيل المثال. قال بيكرين: "يظهر خطأ مثل هذا سبب عدم شعور المستخدمين أبدًا بالثقة التامة بأن الكاميرا الخاصة بهم آمنة ، بغض النظر عن نظام التشغيل أو الشركة المصنعة".

قال بيكرين Apple حول النتائج التي توصل إليها في أواخر العام الماضي ، وتم إصلاح استغلال الأمان في نهاية المطاف في أواخر يناير من خلال تحديث Safari.

ومن المثير للاهتمام، Apple – في تناقض صارخ مع شركات مثل Microsoft و Google – تجنبت تاريخيًا دفع أجور الباحثين عن اكتشاف الأخطاء. كل هذا تغير قبل بضع سنوات Apple، في شهر أغسطس من عام 2016 ، أنشأت أول برنامج "bunty bounty".

بطبيعة الحال ، فإن العائد Apple تختلف عروض الأخطاء التي لم يتم الكشف عنها حسب شدة ونوع التطبيق المعني. على سبيل المثال، Apple سيدفع 100000 دولار مقابل خطأ يتضمن تجاوز شاشة القفل. يقفز هذا الرقم إلى 250،000 دولار لهجوم قادر على استخراج بيانات المستخدم. أكبر عائد Apple تبلغ قيمتها مليون دولار أمريكي ، وهي جائزة محفوظة لأي شخص يمكنه تنفيذ هجوم متقدم على الشبكة دون تدخل من المستخدم.

توضح المصفوفة أدناه بعض خيارات الدفع:

اختراق كاميرا iPhone يعطي باحث أمان 75000 دولار من Apple 1

عمر مستخدم ماك طويل و Apple متحمس ، وقد كتب يوني هيزلر عن Apple وصناعة التكنولوجيا بشكل عام لأكثر من 6 سنوات. ظهرت كتاباته في Edible Appleو Network World و MacLife و Macworld UK ومؤخرا TUAW. عند عدم الكتابة عن آخر الأحداث وتحليلها Apple، يستمتع Yoni بمتابعة برامج Impr في شيكاغو ولعب كرة القدم وتنمية إدمان البرامج التلفزيونية الجديدة ، وأحدث الأمثلة على ذلك The Walking Dead و Broad City.