اپل به هکر اخلاقی رایان پیکرن 75 هزار دلار پاداش پرداخت کرده است. این محقق چندین آسیب پذیری امنیتی صفر روزه را در اپل صفری کشف کرد. این نقص ها به مهاجمان مخرب اجازه می دهد کنترل غیرمجاز وب کم آیفون یا مک بوک را از راه دور به دست آورند.
هکر کشف آسیب پذیری های چند روزه صفر در صفری
در طول آخر هفته ، رایان پیکرن ، محقق امنیتی جزییات را در مورد این موارد منتشر نکرد. هفت آسیب پذیری امنیتی صفر روزه او در سافاری کشف کرد. وی با استفاده از سه مورد از آنها ، توانست یک زنجیره کشتار را برای موفقیت هک کردن وب کم آیفون یا مک بوک ایجاد کند.
آسیب پذیری صفر یک آسیب پذیری نرم افزار رایانه است که توسط سازندگان نرم افزار برطرف نشده است. تا زمانی که این آسیب پذیری ها برطرف نشوند ، مهاجمان می توانند از آنها برای تأثیرگذاری بر برنامه های رایانه ، داده ها ، رایانه های اضافی یا شبکه ها سوءاستفاده کنند. Day Zero روزی است که صاحبان نرم افزار از آسیب پذیری آن مطلع می شوند.
رایان پیکرن در پست وبلاگ خود توضیح می دهد که چگونه وی توانست با مرورگرها و سایتهای خاص فریب خوردن را به عنوان یک وب سایت معتبر ویدئو کنفرانس ، فریب دهد. به عنوان اسکایپ یا زوم. اگر دستگاه قبلاً چنین مجوزهای وب سایت را به استفاده از دوربین و میکروفون داده بود ، یک وب سایت جعلی می توانست از همین نقص سوء استفاده کند تا دسترسی مستقیم و غیرمجاز به دوربین و میکروفون قربانی را بدست آورد.
اشکال گزارش شده به اپل
رایان پیکرن مشکلات مربوط به اپل در اواسط ماه دسامبر از طریق برنامه امنیتی Bounty این شرکت است. این برنامه به محققانی که مباحث مهم و تکنیک های استفاده شده با اپل را به اشتراک می گذارند پاداش می دهد. تحقیقات امنیتی معمولاً 90 روز طول می کشد تا شرکت ها قبل از افشای عمومی مشکل را برطرف کنند.
اپل دارای چندین دسته Bounty. برای هر دسته حداکثر مبلغ پرداخت تعیین شده است. پرداخت جایزه از 25000 دلار متغیر است ، به عنوان مثال ، کنترل غیرمجاز محدود یک حساب iCloud ، در صورت حمله شبکه ای که نیازی به تعامل کاربر ندارد ، به $ 1،000،000 تغییر می کند.
اپل تصور کرد که سوء استفاده از رایان پیکرن در رده "حمله شبکه بدون کاربر" قرار دارد. تعامل: دسترسی غیرمجاز به داده های حساس با صفر کلیک کنید. آنها به وی 75000 دلار برای کشف وی اهدا كردند.
Exploit Camera Patched
چند هفته بعد ، در 28 ژانویه ، اپل با به روزرسانی 13.0.5 Safari خود دوربین را ضرب كرد. اپل در نسخه Safari 13.0 در تاریخ 24 مارس ، آسیب پذیری های صفر روز باقی مانده را که به نظر می رسید آنها شدیدتر نیست ، برطرف کرد.
به گفته رایان پیکرن مهمترین حالت فرار؟ "کاربران هرگز نباید کاملاً مطمئن باشند که دوربینشان ایمن است ، صرف نظر از سیستم عامل یا دستگاهی که از آنها استفاده می کنند."
همچنین ، به محض دسترسی ، به روز رسانی ها را نصب کنید.
رایان پیکرن کیست؟
Ryan پیکرن با بالاترین افتخارات از انستیتوی فناوری جورجیا فارغ التحصیل شده است. در سال 2014 ، به عنوان یک دانشجو ، به دلیل هک وب سایت دانشگاه جورجیا از بدنام بدست آورد. وی پس از دسترسی ، رویدادی را به تقویم مدرسه اضافه کرد. متأسفانه ، این بخش از "رقابت در مدرسه" سرانجام به اتهام تخلف از رایانه منجر شد. در نتیجه ، رایان با پتانسیل 15 سال حبس و جریمه 50،000 دلار روبرو شد.
خوشبختانه ، عدالت دانش آموز را رحمت کرد و رایان پیکرن راههای تولیدی و قانونی بیشتری برای استفاده از استعدادهای فنی خود یافت. وی تصمیم گرفت از طریق برنامه های Bug Bounty خود به شرکت ها کمک کند.
وی برای اولین برد بزرگ خود بیش از 300،000 دلار از شرکت هواپیمایی هواپیمایی یونایتد به دلیل کمک به آنها در تأمین امنیت وب سایت خود دریافت کرد. در دو سال گذشته ، رایان پیکرن بیشتر موشک های هوایی خود را به سازمان های آموزشی و غیرانتفاعی اهدا کرد. رایان همچنین یک دکمه فیزیکی Starbucks ایجاد کرد که نوشیدنی مورد علاقه کاربر را با یک کلیک سفارش می دهد.
