الأخبار التكنولوجية والاستعراضات والنصائح!

حصل باحث أمني على 75 ألف دولار لاختراق كاميرا iPhone

  • تلقى باحث أمني موهوب 75000 دولار من Apple للإبلاغ عن سبعة أيام صفر.
  • يمكن استخدام ثلاثة من هذه العيوب في سلسلة استغلال للوصول إلى ميكروفون وكاميرا iPhone.
  • Apple إصلاح المشكلة الخطيرة في غضون أسبوعين فقط ، لذا فإن تحديث iOS ومتصفح Safari أمر بالغ الأهمية.

السابق Amazon وقد وجد مهندس أمن خدمات الويب (AWS) ، ريان بيكرين ، ما مجموعه سبع نقاط ضعف يوم الصفر في Appleمتصفح الويب Safari (CVE-2020-3852 و CVE-2020-3864 و CVE-2020-3865 و CVE-2020-3885 و CVE-2020-3887 و CVE-2020-9784 و CVE-2020-9787) ، يمكن استخدام ثلاثة منها لاختراق كاميرا iPhone. سيتطلب الاستغلال من الضحية زيارة موقع ويب ضار مُصمم خصيصًا للحصول على كرة سلسلة الاستغلال المتدحرجة ، وإساءة استخدام طريقة Safari في تحليل URIs (معرفات الموارد الموحدة) ، وأصول الويب ، وتهيئة السياق.

يمكن لموقع الويب الذي يحتوي على JavaScript ضار الوصول إلى الكاميرا والميكروفون الخاص بالجهاز ، طالما أن المستخدم وثق في موقع (حتى موقع شرعي) بنفس الطلب سابقًا. يمكن أن يكون هذا هو عميل الويب لـ Zoom أو "Skype.com "الذي يستخدمه الباحث كمثال.

لذا ، هناك بعض الشروط المسبقة حتى ينجح هذا الهجوم ، لكن سلسلة إكسبلويت ليست بعيدة المنال ، حقًا. أبلغ Pickren جميع العيوب السبعة ل Apple في ديسمبر 2019 ، جاء إصلاح الثغرات الأمنية الثلاثة التي جعلت من إمكانية الوصول إلى الكاميرا والميكروفون ممكنًا مع تحديث Safari 13.0.5 في 29 يناير 2020. تم توصيل العيوب الأربعة الأخرى التي كانت أقل شدة في 24 مارس 2020 ، مع إصدار الإصدار 13.1. لهذا التقرير ، تلقى Pickren مكافأة سمين بقيمة 75000 دولار ، مما جعل خبير الأمن راضًا تمامًا.

ليست هذه هي المرة الأولى التي يصرف فيها بيكرين مهاراته المذهلة ، حيث عمل أيضًا مع الخطوط الجوية المتحدة في برنامج Bug Bounty في عام 2016 ، حيث حصل على أميال سفر مجانية تبلغ قيمتها حوالي 300،000 دولار. يؤثر عمله الأخير بشكل إيجابي على ملايين الأشخاص الذين يستخدمون أجهزة iPhone الخاصة بهم دون القلق بشأن فرص وصول كاميراتهم وميكروفوناتهم من قبل الجهات الفاعلة الخبيثة.

نظرًا لأن سلسلة الاستغلال تحدث دون طلب إذن المستخدم ، سيظل الضحايا في الظلام إذا حدث لهم ذلك. ومع ذلك ، سيظل المهاجم يحصل على دفق الوسائط من الميكروفون والكاميرا المستهدفين. الباحث الأمني ​​شون رايت وعلق على فوربس حول هذا الاستغلال ، قائلاً: "قليلون كانوا ينتبهون إلى كاميرات الويب الخاصة بهم بالإضافة إلى الميكروفونات على هواتفهم المحمولة ، على الرغم من أن الناس على الأرجح لديهم هواتفهم المحمولة معظم الوقت حتى عند مناقشة الأمور الحساسة. ما اكتشفه بيكرين معقد إلى حد ما ولكنه بالتأكيد شكل قابل للتطبيق من الهجوم.