Apple Membayar Hadiah $100.500 kepada Peretas yang Menemukan Cara Meretas Webcam MacBook

  • Whatsapp
Apple Membayar Hadiah $100.500 kepada Peretas yang Menemukan Cara Meretas Webcam MacBook
Apple Membayar Hadiah kepada Peretas yang Menemukan Cara Meretas

News.nextcloud.asia –

Apple tahun lalu memperbaiki serangkaian kerentanan macOS baru yang mengekspos browser Safari untuk diserang, berpotensi memungkinkan aktor jahat mengakses akun online, mikrofon, dan webcam pengguna.

Peneliti keamanan Ryan Pickren, yang menemukan dan melaporkan bug ke pembuat iPhone, dikompensasi dengan hadiah bug $ 100.500, menggarisbawahi tingkat keparahan masalah.

Dengan mengeksploitasi rantai masalah keamanan dengan Berbagi iCloud dan Safari 15, ini memungkinkan penyerang untuk membajak izin multimedia dan mendapatkan “akses penuh ke setiap situs web yang pernah dikunjungi oleh korban” di Safari, termasuk akun Gmail, iCloud, Facebook, dan PayPal .

Pencadangan GitHub Otomatis

Itu masalah khusus menyangkut ShareBear, mekanisme berbagi file iCloud yang meminta pengguna saat mencoba membuka dokumen bersama untuk pertama kalinya. Mengambil keuntungan dari fakta bahwa pengguna tidak pernah ditampilkan prompt lagi setelah mereka menerima untuk membuka file, Pickren menemukan bahwa mungkin untuk mengubah konten file menjadi apa saja oleh siapa saja yang memiliki akses ke file tersebut.

“ShareBear kemudian akan mengunduh dan memperbarui file di mesin korban tanpa interaksi atau pemberitahuan pengguna apa pun,” Pickren dijelaskan dalam penulisan teknis. “Pada dasarnya, korban telah memberikan izin kepada penyerang untuk menanam file polimorfik ke mesin mereka dan izin untuk meluncurkannya dari jarak jauh kapan saja.”

Dengan kata lain, file gambar dengan format .PNG dapat mengubah seluruh konten dan ekstensinya menjadi biner yang dapat dieksekusi (“evil.dmg”) setelah pengguna setuju untuk membukanya. Biner kemudian dapat diluncurkan, memicu rantai eksploitasi yang memanfaatkan kelemahan tambahan yang ditemukan di Safari untuk mengambil alih mikrofon atau webcam mesin, atau bahkan mencuri file lokal —

  • CVE-2021-30861 – Masalah logika di WebKit yang memungkinkan aplikasi jahat melewati pemeriksaan Gatekeeper
  • CVE-2021-30975 – Masalah di Editor Skrip yang dapat memungkinkan malware Tambahan skrip OSAX untuk melewati pemeriksaan Penjaga Gerbang dan menghindari pembatasan kotak pasir
Mencegah Pelanggaran Data

Ini adalah kedua kalinya Pickren mengungkapkan kekurangan di iOS dan macOS yang, jika berhasil dieksploitasi, dapat disalahgunakan untuk mengakses kamera secara tidak sah saat mengunjungi situs web yang dibuat khusus.

“Proyek ini merupakan eksplorasi yang menarik tentang bagaimana cacat desain dalam satu aplikasi dapat memungkinkan berbagai bug lain yang tidak terkait menjadi lebih berbahaya,” kata Pickren. “Itu juga merupakan contoh yang bagus tentang bagaimana bahkan dengan macOS Gatekeeper diaktifkan, penyerang masih dapat melakukan banyak kerusakan dengan menipu aplikasi yang disetujui untuk melakukan hal-hal jahat.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.