搜索

黑客发现iphone摄像头中的零日漏洞,苹果给了75000美元的奖励

发布时间:2020-04-08 20:20:14

[摘要]去年12月,一名白帽子黑客利用苹果自己的应用程序,展示了恶意网站如何利用一系列漏洞,未经用户同意访问用户的相机和麦克风。[摘要]去年12月,一名白帽黑客使用苹果自己的应用程序,展示恶意网站如何利用一系列漏洞,不受限制地访问用户的相机和麦克风。

据外国媒体报道,腾讯科技新闻(TencentTechnologyNews)报道,一名白帽子黑客利用他发现的一系列漏洞劫持了iPhone摄像头。同样的方法也适用于Mac电脑上的摄像头。在向苹果披露漏洞后,他获得了75000美元的回报。

去年12月,一名白帽子黑客利用苹果自己的应用程序,展示了恶意网站如何利用一系列漏洞,未经许可访问用户的相机和麦克风。

前亚马逊网络服务安全工程师ryanpiickron发现了苹果Safari中的七个零日漏洞,这些漏洞可以用来劫持用户的相机。这些漏洞利用Safari解析统一资源标识符、管理Web源和初始化安全上下文的方式。

唯一的要求是用户的相机必须信任像缩放这样的视频会议网站。如果这个条件得到满足,用户可以访问利用攻击链的网站,黑客可以利用这个机会访问用户的相机adze8212,无论是在iOS上还是在MacOS上。

皮克伦将他的发现提交给了苹果昆虫防备计划,该项目获得了75000美元的奖励。苹果在1月28日发布的安全13.0.5更新中修复了三个安全漏洞&adze8212;这个漏洞允许摄像头被劫持。其余四个漏洞直到3月24日安全13.1版发布后才被修复。

这个漏洞解释了为什么用户永远不应该完全相信他们的相机是安全的,不管是什么操作系统或制造商,Pickron说。

Pickron发现安全漏洞的方法是发现软件中的假设,并违反这些假设来查看会发生什么。他指出,摄像头安全模型很难破解,因为苹果要求几乎每个应用程序都必须获得麦克风和摄像头的明确许可。这使得恶意第三方应用未经用户明确许可而获得访问的可能性要小得多。

然而,这条规则的例外是苹果自己的应用程序,比如Safari。Pickron利用这一例外发现了一个漏洞。他设法以多种方式攻击Safari浏览器,直到他能够进入摄像头。

另一名安全研究人员表示,令人惊讶的是,黑客没有更多地关注这种针对移动设备的攻击。他表示,劫持iPhone摄像头的能力尤其有价值。

安全研究员肖恩·赖特(Seanwright)说,当每个人都在看个人电脑和笔记本电脑上的网络摄像头时,很少有人会像手机上的麦克风那样关注网络摄像头。当你停下来想一想,这很奇怪,因为这是一种让攻击者更有可能窃听受害者的方式。大多数时候,人们更倾向于携带手机,特别是在讨论敏感问题时。(腾讯科技审校/音乐)。

上一篇:什么是2020年最大的超级月亮的所谓超级月亮?

下一篇:最后一页