Apple je isplatio 75.000 dolara hakeru za identificiranje višestrukih ranjivosti nultog dana u svom softveru, od kojih bi se neke mogle iskoristiti za otmicu kamere na MacBooku ili iPhone , prema Forbes .
Ranjivost nultog dana odnosi se na sigurnosnu rupu u softveru koja je nepoznata programeru softvera i javnosti, iako je možda već znaju napadači koji je tiho iskorištavaju.
Sigurnosni istraživač Ryan Pickren navodno je otkrio ranjivosti u Safariju nakon što je odlučio 'prebaciti preglednik nejasnim kutovima' dok ne počne pokazivati čudno ponašanje.
Lovac na bube pronašao je ukupno sedam podviga. Ranjivosti su uključivale način na koji je Safari analizirao jedinstvene identifikatore resursa, upravljao podrijetlom weba i inicijalizirao sigurne kontekste, a tri od njih su mu omogućile pristup kameri prevarivši korisnika da posjeti zlonamjernu web stranicu.
'Bug poput ove pokazuje zašto se korisnici nikada ne bi trebali osjećati potpuno sigurni da je njihova kamera sigurna', rekao je Picren, 'bez obzira na operativni sustav ili proizvođača.'
Picren je izvijestio o svom istraživanju putem Appleovog programa Bug Bounty u prosincu 2019. Apple je odmah potvrdio svih sedam bugova i nekoliko tjedana kasnije poslao ispravak za lanac ubijanja kamere. Iskorištena je greška kamere Safari 13.0.5 , objavljen 28. siječnja. Preostale ranjivosti nultog dana, za koje je Apple ocijenio da su manje ozbiljne, zakrpljene su u Safari 13.1 , objavljen 24. ožujka.
Jabuka otvorio svoje bug bounty program svim istraživačima sigurnosti u prosincu 2019. Prije toga, Appleov program nagrađivanja bugova temeljio se na pozivnicama, a uređaji koji nisu iOS nisu bili uključeni. Apple je također povećao maksimalnu veličinu nagrade sa 200.000 dolara po eksploataciji na milijun dolara ovisno o prirodi sigurnosne greške.
Prilikom podnošenja izvješća, istraživači moraju uključiti detaljan opis problema, objašnjenje stanja sustava kada eksploatacija funkcionira i dovoljno informacija da Apple pouzdano reproducira problem.
Ove godine Apple planira provjerenim i pouzdanim istraživačima sigurnosti i hakerima ponuditi 'dev' iPhone uređaje ili posebne iPhone uređaje koji pružaju dublji pristup temeljnom softveru i operativnom sustavu koji će olakšati otkrivanje ranjivosti.
Ovi iPhonei su se pruža kao dio Appleovog nadolazećeg programa iOS Security Research Device Program, koji ima za cilj potaknuti dodatne istraživače sigurnosti da otkriju ranjivosti, što u konačnici dovodi do sigurnijih uređaja za potrošače.
Oznake: exploit , Safari , bug bounty
Popularni Postovi