جایزه 100 هزار دلاری اپل به یک هکر

اپل به دانشجویی که دوربین مک را با موفقیت هک کرد، ۱۰۰ هزار دلار پاداش داد.
   
یک دانشجوی امنیت سایبری موفق شد دوربین مک را هک کند و برای این کار ۱۰۰ هزار دلار جایزه از طرف اپل دریافت کرد. این دانشجو می‌گوید جایزه‌ او بالاترین مبلغی بوده که اپل تاکنون پرداخت کرده است.

رایان پیکرن، دانشجوی امنیت سایبری در مؤسسه‌ فناوری جورجیا، پیش از این در سال ۲۰۱۹ تعدادی آسیب‌پذیری پیدا کرد که با سوء‌استفاده از آن‌ها موفق شد دوربین آیفون و میکروفون‌های این گوشی را بدون نیاز به‌ فعال کردن مجوزهای حریم خصوصی کاربر روشن کند. او برای کشف این باگ جایزه‌ای ۷۵ هزار دلاری از اپل دریافت کرد.

پیکرن از آن زمان، به سراغ دوربین مک رفته است. در ادامه روش هک کردن دوربین مک را از زبان او مرور می‌کنیم:

«من با استفاده از یک‌سری مشکلات مربوط به اشتراک‌گذاری آی‌کلاد و سافاری ۱۵ به‌صورت غیرمجاز ولی با موفقیت به دوربین دسترسی پیدا کردم. این باگ از قربانی می‌خواهد در پنجره‌ بازشو وب‌سایت من، روی «باز کردن» کلیک کند و سپس دسترسی موردنظر را به‌دست خواهد آورد. این باگ، به فرد مهاجم اجازه می‌دهد به هر وب‌سایتی که قربانی بازدید کرده دسترسی داشته باشد. این یعنی باگ مورد نظر می‌تواند علاوه‌بر روشن کردن دوربین شما، حساب‌های جیمیل، فیسبوک، پی‌پال، آی‌کلاد و غیره را نیز هک کند.»

هک دوربین مک با استفاده از آسیب‌پذیری موجود در برنامه‌ اشتراک‌گذاری آی‌کلاد موسوم به ShareBear امکان‌پذیر است. اگر دعوتی را برای اشتراک‌گذاری سند با شخص دیگری بپذیرید، مک به خاطر خواهد آورد که مجوز آن قبلا اعطا شده است و دیگر از شما سؤال نخواهد کرد که آیا سند را دوباره باز می‌کنید یا خیر. از آنجا که فایل در حافظه‌ محلی شما ذخیره نمی‌شود، پس از اینکه شما به آن دسترسی پیدا کردید، مالک می‌تواند آن را تغییر دهد.

البته نوع همان فایل را نیز می‌توان تغییر داد و آن را به یک فایل اجرایی تبدیل کرد؛ اقدامی که به فرد مهاجم اجازه می‌دهد به رایانه شخصی قربانی دسترسی پیدا کند. پیکرن از این ایده برای تبدیل یک سند یا تصویر به بدافزار  استفاده کرد و از آنجاکه مک شما مجدداً نیاز به مجوز نخواهد داشت، بدون هیچ مشکلی آن را باز خواهد کرد و درنتیجه به آن دسترسی می‌دهد. پیکرن با این باگ علاوه‌بر هک کردن دوربین مک، به میکروفون دستگاه نیز دسترسی پیدا کرده است.

متأسفانه، ازآنجاکه هر زمان این اتفاق رخ دهد ال‌ای‌دی سبز اپل روشن می‌شود، حتی در شرایط عادی، یک کاربر کنجکاو از طرف دیگر قادر خواهد بود به سرعت بفهمد که چه اتفاقی در حال رخ دادن است و اقدامات مناسب را انجام دهد. پیکرن این باگ‌ها را در اواسط جولای سال گذشته به اپل ارائه کرد و از آن زمان، این آسیب‌پذیری‌ها اصلاح شده است.

غول فناوری کوپرتینویی بابت کشف این باگ مبلغ ۱۰۰ هزار دلار جایزه به پیکرن اعطا کرده که گفته می‌شود بالاترین مبلغی است که این شرکت بابت کشف باگ امنیتی در محصولات خود پرداخت کرده است.