Ein amerikanischer Student hat einen Mac gehackt und Apple hat ihm dafür eine Rekordsumme von 100,5.000 Dollar gezahlt

Von: Elena Shcherban | 26.01.2022, 18:01

Der amerikanische Student Ryan Pickren, der Cybersicherheit studiert und zuvor Schwachstellen in iPhone- und Mac-Kameras gefunden hat, hat es geschafft, einen Mac zu hacken und dafür sogar eine Belohnung erhalten.

Wofür?

Die Schwachstelle, die Pickren entdeckt hat, hängt mit einer Reihe von Problemen mit Safari und iCloud zusammen, aber er sagt, Apple habe das Problem bereits behoben. Eine Sicherheitslücke könnte einem Angreifer jedoch vollen Zugriff auf alle geben Webkonten, von iCloud zu PayPal, sowie die Erlaubnis, das Mikrofon, die Kamera und die Bildschirmfreigabe zu verwenden. Dadurch könnte der Hacker vollen Zugriff auf das gesamte Dateisystem des Geräts erhalten.

Wie Ryan erklärt, ist dies durch die Verwendung von Safaris „Webarchive“-Dateien möglich, dem System, das der Browser verwendet, um lokale Kopien zu speichern. Webseiten. „Das auffallende Merkmal dieser Akten ist, dass sie darauf hindeuten Web-QuelleDie, in der der Inhalt angezeigt werden soll. Dies ist ein großartiger Trick, um Safari zu ermöglichen, den Kontext der gespeicherten Datei wiederherzustellen Webseite, aber wie die Autoren von Metasploit bereits 2013 betonten, wenn ein Angreifer dies kann irgendwie Ändern Sie diese Datei so, dass sie UXSS [Universal Cross Site Scripting] effektiv implementieren kann."

Dazu muss der Benutzer die Datei herunterladen Webarchiv, und öffnen Sie es dann. Aber Apple hielt dies bei der ersten Implementierung nicht für ein realistisches Hacking-Szenario Webarchiv Safari. „Natürlich wurde diese Entscheidung vor fast zehn Jahren getroffen, als das Browser-Sicherheitsmodell noch nicht so ausgereift war wie heute. Vor Safari 13 wurden dem Benutzer noch nicht einmal Warnungen angezeigt Website beliebige Dateien geladen. Legen Sie also die Datei ab Webarchiv es war einfach“, bemerkt Pikren.

Apple hat sich zu dieser Studie nicht geäußert, aber es ist bekannt, dass der Student im Rahmen der Entdeckung von Fehlern in der Software 100.500 US-Dollar erhalten hat – angeblich die größte Auszahlung von Apple, obwohl die offizielle Höchstgebühr für das Programm 1 Million US-Dollar beträgt.

Eine Quelle: AppleInsider