$100 000 за взлом Mac: американский студент получил рекордную награду от Apple
Пикрен обнаружил опасную уязвимость на устройствах Apple Mac, которая позволяла получать несанкционированный доступ к камере. Аспирант сообщил об этом в Apple, и за его вклад ему была выплачена рекордная награда в размере 100 500 долларов.
Хакер описал процесс взлома в длинном посте в своем блоге, подробно рассказав о том, как ему удалось достичь конечного результата. Ошибки связаны с использованием проблем с общим доступом к iCloud и браузером Safari 15. Хотя проблема может показаться ситуативной и вряд ли такой взлом удастся повторить, эта уязвимость показывает, что техника Apple пока не идеальна и бреши в ее безопасности могут позволить хакерам получить доступ к устройствам пользователей.
Уязвимость началась с приложения для совместного использования iCloud под названием ShareBear. С помощью ShareBear пользователи могут предоставлять доступ друг другу, чтобы беспрепятственно обмениваться документами. Как только пользователь принял приглашение поделиться определенным файлом с другим человеком, Mac запомнил это разрешение и больше никогда его не запрашивал. К сожалению, хотя на первый взгляд это кажется удобной функцией, но она может сыграть злую шутку.
Поскольку файл хранится в облаке, а не локально, его можно поменять местами в любое время после получения разрешения. Это может привести к тому, что простое изображение или текстовый файл будут превращены в исполняемый файл с вредоносным кодом. Пикрен использовал этот эксплойт для изменения типов файлов и получения полного доступа к компьютеру Mac пользователя.
В одном из приложений студент нашел уязвимость, которая позволила запустить программу с вредоносным кодом и получить доступ к камере компьютера