حصل Ryan Pickren ، طالب الأمن السيبراني ، على 100500 دولار كمكافأة ، بعد أن أوضح لشركة Apple كيف تسمح الثغرة للمتسللين بالوصول غير المصرح به إلى كاميرات الويب على أجهزة Mac. قال بيكرين في منشور بالمدونة إنه يمكن تحقيق ذلك من خلال استغلال سلسلة من المشكلات مع مشاركة iCloud و Safari 15. وتجدر الإشارة إلى أن هذه الثغرات الأمنية تم إصلاحها بواسطة Apple العام الماضي كملاحظات Wired.
عادةً ما يكشف الباحثون عن الثغرات بعد أن قامت الشركة بإصلاح المشكلة ، وهو ما يفسر سبب نشر بيكرين حول هذا الأمر الآن. والسبب هو التأكد من تصحيح الخلل قبل أن يبدأ المجرمون الإلكترونيون في استغلاله.
“يمنح الخطأ المهاجم حق الوصول الكامل إلى كل موقع ويب زارته الضحية على الإطلاق. وهذا يعني أنه بالإضافة إلى تشغيل الكاميرا ، يمكن لخطئي أيضًا اختراق حسابات iCloud و PayPal و Facebook و Gmail وما إلى ذلك أيضًا “.
وفقًا لبيكرين ، فإن الاختراق يعني في النهاية أن المهاجم يمكنه الوصول بشكل كامل إلى نظام ملفات الجهاز بالكامل. سيكون هذا ممكنًا من خلال استغلال ملفات “webarchive” الخاصة بـ Safari. Webarchive هو تنسيق ملف تم إنشاؤه عبر الويب ويستخدمه متصفح الويب Safari. يحتوي على HTML والصور والصوت والفيديو من صفحات الويب التي تمت زيارتها مسبقًا.
قال بيكرين: “الميزة المذهلة لهذه الملفات هي أنها تحدد أصل الويب الذي يجب تقديم المحتوى فيه”. حتى وقت قريب ، لم يتم عرض أي تحذيرات للمستخدم قبل أن يقوم موقع الويب بتنزيل ملفات عشوائية. لذلك كان زرع ملف webarchive أمرًا سهلاً “.
ومع ذلك ، الآن مع Safari 13+ ، تتم مطالبة المستخدمين قبل كل تنزيل.
وتجدر الإشارة إلى أن Apple لا تؤكد هذه الثغرات الأمنية على هذا النحو. يذكر فقط إصلاح الأمان في البرنامج. لكن يُنسب إلى Pickren عيب برمجي في macOS Catalina لشهر ديسمبر 2021. وقد تم ذكر الخلل على أنه “قد تتجاوز إضافة نصية خبيثة OSAX عمليات التحقق من Gatekeeper وتتحايل على قيود وضع الحماية.” تم ذكره أيضًا في تحديث أمني أكتوبر 2021. يوصف الخلل بأنه “قد يتجاوز التطبيق الضار عمليات التحقق من برنامج Gatekeeper”.
بالنسبة للمبتدئين ، يقدم برنامج مكافأة الأخطاء من Apple 100000 دولار للهجمات التي تحصل على “وصول غير مصرح به إلى البيانات الحساسة”. تُعرِّف Apple البيانات الحساسة بأنها الوصول إلى جهات الاتصال أو البريد أو الرسائل أو الملاحظات أو الصور أو بيانات الموقع.
في وقت سابق ، في مايو 2021 ، تم استغلال Apple AirTag من قبل المتسللين لتعديل البرامج الثابتة للجهاز. أصدرت Apple علامة AirTag لمساعدة الأشخاص على تتبع العناصر المفقودة. يحتوي جهاز التتبع الذي يدعم تقنية Bluetooth من Apple يقال تم اختراقه من قبل باحث ألماني في الأمن السيبراني وفقًا لتغريدة تعد الأولى من نوعها للجهاز. استخدم الباحث الهندسة العكسية على متحكم AirTag لاختراقه.
