Hacker v rámci Safari objaví sériu exploitov, ktoré by mohli mať hrôzostrašné následky pre používateľov iPhone, iPad a Mac.
Nedávno sa objavilo zneužitie v povoleniach aplikácií spoločnosti Apple, ktoré mohlo poskytnúť prístup k fotoaparátom, mikrofónom a obrazovkám ľudí v systémoch iOS a MacOS. Rovnako ako väčšina exploitov a hackerov, aj tento využíva predpoklady, ktoré vytvorili dizajnéri systémov povolení spoločnosti Apple, a interaguje s týmito nastaveniami spôsobom, ktorý títo dizajnéri nezohľadnili. Nie je to nič, s čím by sa každodenný používateľ stretol, ale informovaný hacker mohol toto zneužitie využiť hrôzostrašným spôsobom.
„Hackerom“ je v tomto prípade Ryan Pickren, ktorý by sa v tomto okamihu mohol považovať za internetovo presláveného. Preslávil sa ako zmluvný hacker poverený využívaním svojich zručností na pomoc organizáciám pri objavovaní a zatváraní dier v ich online bezpečnosti. Jeho nároky na slávu sú pôsobivé aj znepokojujúce, pretože dosiahol neuveriteľné výkony technického zasahovania. Po krátkom zábehu súdneho systému pre nelegálny hacker, ktorý urobil vo futbalovom tíme kolegiálneho rivala, sa rozhodol svoje sily nadobro využiť a vydal sa na kariéru stíhania prémií za chyby pre United Airlines.
Pokračujte v posúvaní a pokračujte v čítaní Kliknutím na tlačidlo nižšie spustíte tento článok v rýchlom zobrazení.
Našťastie Pickren je na našej strane, pretože jeho objav bezpečnostnej chyby s povoleniami systému iOS bol odovzdaný spoločnosti Apple a opravený. Problém pramenil zo spôsobu, akým zariadenia Apple požadujú prístup k hardvéru zariadenia. Typická aplikácia vyzve používateľa, aby mu dal prístup k nástrojom, ako je fotoaparát, kalendár, kontakty a podobne. Každý používateľ smartfónu je s týmto vyskakovacím oknom oboznámený. Aplikácie spoločnosti Apple od prvej strany, ako napríklad Safari, majú však prakticky automatický prístup k funkciám zariadenia. Safari potom dokáže tento prístup povoliť webovým serverom, ktoré používateľ navštívi, aby uľahčil napríklad webovým verziám programov Skype a Zoom okamžitý prístup k fotoaparátu a mikrofónu telefónu na účely videokonferencií. Táto vymoženosť je však tiež cestou vedúcou k tomuto zneužitiu.
Ako mohol Safari vystaviť ľudové fotoaparáty
Blogový príspevok Ryana Pickrena o tejto problematike podáva vyčerpávajúco podrobné vysvetlenie toho, ako to celé funguje, ale mimoriadne zhustenou verziou je, že dokázal oklamať Safari, aby vytvoril falošný predpoklad, ktoré webové stránky si používateľ prezerá. Pomocou šikovného skriptovania sa mu podarilo presvedčiť Safari, že webová adresa a jej obsah sú rovnaké ako iné - dôveryhodné - webové stránky, a spôsobiť, že prehliadač umožní falošným stránkam prístup k zariadeniu.
To by opäť nebol niečo, čo by bol priemerný hacker schopný dokázať, ale vo voľnej prírode to mohlo znamenať, že by mohla byť kohokoľvek iPhone fotoaparát a mikrofón zapnutý a nastavený na nahrávanie, keby navštívil nesprávne webové stránky. Ďalej by sa to dalo dosiahnuť bez toho, aby o tom používateľ vedel, aj keby len navštívili stránky, ktoré považovali za bezpečné . Je to v podstate najhoršia nočná mora každého dozorcu. Našťastie Apple na vyriešení problému spolupracoval s Pickrenom a odstránil diery, ktoré ho minulý mesiac spôsobili. Za svoju prácu bol hacker odmenený sumou 75 000 dolárov.
Zdroj: Ryan Pickren