En hacker opdager en række udnyttelser i Safari, der kan have frygtelige konsekvenser for iPhone-, iPad- og Mac-brugere.
En udnyttelse blev for nylig opdaget i Apples applikationstilladelser, der kunne have givet adgang til folks kameraer, mikrofoner og skærme på iOS og MacOS. Som de fleste bedrifter og hacks drager denne fordel af de antagelser, som designerne af Apples tilladelsessystemer har foretaget og interagerer med disse indstillinger på en måde, som designerne ikke overvejede. Det er ikke noget, som den daglige bruger nogensinde ville være stødt på, men en informeret hacker kunne have brugt denne udnyttelse på skræmmende måder.
'Hacker' i dette tilfælde er Ryan Pickren, som på dette tidspunkt kan betragtes som internetberømt. Han har skabt sig et navn som en kontraktmæssig hacker, der er anklaget for at bruge sit dygtige sæt til at hjælpe organisationer med at finde og lukke huller i deres online sikkerhed. Hans påstande om berømmelse er både imponerende og foruroligende, da han har opnået nogle utrolige bedrifter af teknisk indtrængen. Efter en kort indkørsel med retssystemet for et ulovligt hack, som han gjorde på en kollegial rivals fodboldhold, besluttede han at bruge sine kræfter for godt og gå i gang med en karriere, der jagter bugpræmier for United Airlines.
Fortsæt med at rulle for at fortsætte med at læse Klik på knappen nedenfor for at starte denne artikel i hurtig visning.
Heldigvis, Pickren er på vores side, da hans opdagelse af sikkerhedsfejlen med iOS-tilladelser er blevet overdraget til Apple og løst. Problemet stammede fra den måde, Apple-enheder anmoder om adgang til en enheds hardware. En typisk app vil bede brugeren om at give den adgang til værktøjer som kamera, kalender, kontakter osv. Enhver smartphone-bruger er bekendt med den pop op-popup. Apples førstepartsapplikationer, som Safari, har dog næsten automatisk adgang til enhedens funktioner. Safari er derefter i stand til at give den adgang til websteder, som en bruger besøger, for at lette ting som webversioner af Skype og Zoom, der får øjeblikkelig adgang til en telefons kamera og mikrofon til videokonferencer. Denne bekvemmelighed er imidlertid også den vej, der fører til denne udnyttelse.
Hvordan Safari kunne have eksponeret folks kameraer
Ryan Pickrens blogindlæg om dette emne giver en udtømmende detaljeret forklaring på, hvordan alt dette fungerer, men den ekstremt kondenserede version er, at han var i stand til at narre Safari til en falsk antagelse om, hvilke websteder en bruger ser på. Gennem nogle kloge scripting formåede han at overbevise Safari om, at en webadresse og dens indhold var det samme som et andet - betroet - websted og fik browseren til at give den falske side adgang til enheden.
Dette er igen ikke noget nogen gennemsnitlig hacker ville have været i stand til at udrette, men i naturen kunne dette have betydet, at alles iPhone-kamera og mikrofon kunne tændes og indstilles til at registrere, hvis de besøgte de forkerte websteder. Desuden kunne det opnås uden at brugeren vidste det, selvom de kun ville besøgte websteder, som de troede var sikre . Det er i det væsentlige alles værste overvågningsmareridt. Heldigvis arbejdede Apple med Pickren for at løse problemet og lappede hullerne, der forårsagede det sidste måned. For sit arbejde blev hackeren belønnet med 75.000 dollars.
Kilde: Ryan Pickren