האקר מגלה סדרה של מעללים בספארי שיכולים להיות בעלי השלכות אימתניות על משתמשי iPhone, iPad ו- Mac.
לאחרונה התגלה נצלנות בהרשאות היישומים של אפל שיכולה הייתה להעניק גישה למצלמות, מיקרופונים ומסכים של אנשים ב- iOS וב- MacOS. כמו רוב המנצלים והפריצות, גם זה מנצל את ההנחות שעיצבו מעצבי מערכות ההרשאות של אפל ומתקשר עם הגדרות אלה באופן שהמעצבים לא הצליחו להתחשב בהם. זה לא משהו שהמשתמש היומיומי היה נתקל אי פעם, אבל האקר מושכל יכול היה להשתמש במנצל הזה בדרכים אימתניות.
'ההאקר' במקרה זה הוא ריאן פיקרן, שיכול להיחשב בשלב זה מפורסם באינטרנט. הוא עשה לעצמו שם כהאקר מכווץ המוטל על שימוש במיומנות שלו כדי לעזור לארגונים לגלות ולסגור חורים באבטחה המקוונת שלהם. טענותיו לתהילה הן מרשימות ומטרידות, שכן הוא השיג כמה הישגים לא יאמנים של חדירה טכנית. לאחר ריצה קצרה עם מערכת המשפט לפריצה לא חוקית שעשה בקבוצת הכדורגל של יריבה קולג'ית, הוא החליט להשתמש בכוחותיו לתמיד ולצאת לקריירה שרדפה אחרי שפע באגים עבור יונייטד איירליינס.
המשך לגלול כדי להמשיך לקרוא לחץ על הלחצן למטה כדי להתחיל מאמר זה בתצוגה מהירה.
לְמַרְבֶּה הַמַזָל, פיקרן נמצא בצד שלנו מכיוון שגילויו של פגם האבטחה בהרשאות iOS הועבר לאפל ותוקן. הבעיה נבעה מהאופן שבו מכשירי אפל מבקשים גישה לחומרה של המכשיר. אפליקציה טיפוסית תדרוש מהמשתמש לתת לו גישה לכלים כמו המצלמה, לוח השנה, אנשי הקשר וכן הלאה. כל משתמש בסמארטפון מכיר את החלון הקופץ ההוא. עם זאת, ליישומי הצד הראשון של אפל, כמו Safari, יש גישה אוטומטית כמעט לתכונות המכשיר. ספארי מסוגל אז להעניק את הגישה לאתרים שמשתמש מבקר בהם, כדי להקל על דברים כמו גרסאות האינטרנט של סקייפ וזום לקבל גישה מיידית למצלמת הטלפון ולמיקרופון לשיחות ועידה בווידיאו. נוחות זו, לעומת זאת, היא גם הדרך המובילה לנצל את זה.
איך ספארי יכול היה לחשוף מצלמות של אנשים
פוסט הבלוג של ריאן פיקרן בנושא זה נותן הסבר מפורט באופן ממצה כיצד כל זה עובד, אך הגרסה המרוכזת ביותר היא שהוא הצליח להונות את ספארי להנחה שגויה באילו אתרים המשתמש צופה. באמצעות תסריטים חכמים כלשהם, הוא הצליח לשכנע את ספארי שכתובת אינטרנט ותכניה זהים לאתר אחר - מהימן - ולגרום לדפדפן לתת לאתר המזויף גישה למכשיר.
זה, שוב, לא משהו שאף האקר ממוצע היה מצליח להשיג, אבל בטבע, זה יכול היה לגרום למצלמת האייפון והמיקרופון של כל אחד להיות מופעלת ולהגדיר את ההקלטה אם היו מבקרים באתרים הלא נכונים. יתר על כן, ניתן היה לבצע זאת מבלי שהמשתמש ידע, גם אם רק היה עושה זאת ביקרו באתרים שחשבו שהם בטוחים . זה בעצם סיוט המעקב הגרוע ביותר של כולם. למרבה המזל, אפל עבדה עם פיקרן כדי לפתור את הבעיה ותיקנה את החורים שגרמו לה בחודש שעבר. על עבודתו גמול ההאקר 75,000 דולר.
מָקוֹר: ריאן פיקרן