Zűr a Safariban

2020.04.14. 12:30

Talált egy hibát, 75 ezer dollárt, azaz 24 millió forintot fizettek neki

Etikus hackernek utalta az Apple a pénzt, aki bebizonyította, hogy hét különböző sérülékenység segítségével egy külső támadó számítógépünk kamerájához, mikrofonjához, helyzetéhez és egyes esetekben az elmentett jelszavakhoz juthatott volna hozzá.

A hibák a Safari böngészőben jelentkeztek, a gyártó mindet kijavította, és frissítette a böngészőt.

Elég lett volna egy weboldalt meglátogatni – mely nem ártó szándékú, de akaratukon kívül kártékony hirdetéseket is betölt – a Safari böngészővel, ahhoz, hogy a támadó titokban átvegye az irányítást az eszköz kamerája, mikrofonja, netán helyzete felett, sőt egyes esetekben akár a tárolt jelszavakhoz is hozzáférhettek volna.

Az Apple szerencséjére a sérülékenységeket egy etikus hacker, Ryan Pickren fedezte fel,

aki egymaga mutatta meg a hibát a gyártónak.

Fotó: Ryan Pickren

Az Apple nem volt hálátlan, és 75 ezer dolláros jutalmat fizetett ki az etikus hackernek. A vállalat már kijavította a hibákat, több részletben, az első hibajavítás a 2020. január 28-án kiadott 13.0.5-ös számú Safari verzióval érkezett, a március 24-i 13.1-es Safari változatában már teljesen megszüntették őket – írja a G Data.

A biztonsági szakember észrevette, hogy ha egy káros szándékú weboldal hozzáférést szeretett volna kapni az adott gép webkamerájához, mikrofonjához, nem kellett volna egyebet tegyen, mint hogy egy, a böngésző által megbízhatónak tartott weboldalnak álcázza magát.

Ugyanis a Safari böngésző első használatkor megkérdezi a felhasználótól, hogy szeretnénk egy adott weboldalnak megengedni, hogy hozzáférjen a kameránkhoz, mikrofonunkhoz. Ez történik például, amikor a Skype vagy Google Hangouts webes verzióját szeretnénk használni. Amikor visszalátogatunk arra az oldalra, észben tartja, hogy első alkalommal mit választottunk és annak megfelelően engedi vagy sem a webkamera, mikrofon használatát.

Azonban a biztonsági szakértő rájött, hogy a Safari a webcímek ellenőrzésekor – vagyis amikor megnézi, hogy ugyanazon az oldalon vagyunk-e vagy sem – figyelmen kívül hagyta webcím www. előtti részét. Így a https://www.példa.hu weboldal és a hamis, www.példa.hu oldalakat ugyanannak az oldalnak vélte –

így a kamerához, mikrofonhoz hozzáférést adott a hamis oldalnak is.

A szakember szerint ezzel a módszerrel a jelszavakat is el lehetett lopni – a Safari beépített jelszómenedzsere automatikusan detektálja, hogy milyen weboldalon vagyunk és kitölti helyettünk az előzőleg elmentett jelszavakat. A kutató összesen hét nulladik napi sebezhetőséget fedezett fel a böngészőben, melyeket az almás gyártó március végéig a frissítésekben már javított – ha nem telepítettük volna eddig a biztonsági javításokat, itt az idő bepótolni.

Az Apple hosszú ideig nem tartott fenn hibavadász programokat a külső etikus hackerek számára, mondván, termékei a legbiztonságosabbak. Azonban tavaly ők is beadták derekukat, és a szélesebb közönség előtt is megnyitották hibavadász programjukat, melyben elméletileg akár másfél millió dolláros jutalmat is kioszthatnak.

Borítóképünk lllusztráció

Ezek is érdekelhetik