Apple ist traditionell das Unternehmen mit den sichersten Betriebssystemen. Seit einem Jahr jedoch Android ist ein sichereres Betriebssystem geworden, in dem die Schwachstellen gefunden in Googles Betriebssystem werden viel teurer bezahlt. Der Fehler liegt beim Apple Browser , die eine schwerwiegende Sicherheitslücke hat, die das Ausspähen durch die Kamera .
Apple ist für die Wartung verantwortlich Safari . Ihr Browser ist Closed Source, anders als bei Chrome. Daher hat der Google-Browser viel mehr Augen, um mögliche Schwachstellen zu finden. Im Fall von Apple ist das Unternehmen auf sich allein gestellt und die sieben Schwachstellen, die Ryan Pickren Ein ehemaliger Sicherheitsingenieur bei Amazon Web Services (AWS) hat dies entdeckt und demonstriert.
7 Sicherheitslücken, um die Kamera unter iOS und MacOS auszuspionieren
Von den sieben in Safari gefundenen Sicherheitslücken ( CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 und CVE-2020-9787 ), drei davon ermöglichen einem Hacker den Zugriff auf die Kamera eines Mac oder iPhone wenn der Benutzer auf a klickt böswilliger Link .
Fast jede Anwendung benötigt bestimmte Berechtigungen, um auf die zuzugreifen Kamera und Mikrofon , außer denen von Apple selbst, wie Safari. So entdeckte Pickren nach und nach die Sicherheitslücken, bis er auf die Kamera zugreifen konnte. Zum Beispiel im Fall von Safari für iOSDer Browser kann ohne Aufforderung auf die Kamera zugreifen. Mit neuen Technologien wie der MediaDevices-Web-API (die in WebRTC-Broadcasts verwendet wird) können Websites diese Berechtigung nutzen. So geht's für Apps Skype oder Zoom , ermöglicht jedoch den Zugriff auf die Kamera, wenn im System eine Sicherheitsanfälligkeit festgestellt wird.
Die Sicherheitsanfälligkeiten CVE-2020-3864, CVE-2020-3865 und CVE-2020-9784 wurden behoben Safari 13.0.5 wurde am 28. Januar veröffentlicht Die anderen vier (CVE-2020-3852, CVE-2020-3885, CVE-2020-3887 und CVE-2020-9787) wurden gepatcht 24. März mit Safari 13.1 . Das Problem ist, dass, obwohl sie behoben wurden, in Zukunft möglicherweise neue entdeckt werden, die Zugriff auf die Kamera gewähren, da Safari immer noch ein anfälliger Browser ist.
Apple hat ihm 75,000 Dollar bezahlt
Apple stufte die Sicherheitsanfälligkeit als „Netzwerk Angriff ohne Benutzerinteraktion: Nicht autorisierter Zero-Click-Zugriff auf vertrauliche Daten “, für den sie bezahlt haben 75,000 € . Diese Zahl steht im Gegensatz zu der von Zerodium, einem privaten Unternehmen, das Schwachstellen an Spionageunternehmen weiterverkauft. Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung und lokaler Eskalation von Berechtigungen kostet 500,000 US-Dollar. Tatsache ist, dass es notwendig war, mindestens einmal mit dem Link zu interagieren, indem Sie darauf klicken. Daher hat Apple für diese Kategorie möglicherweise eine höhere Zahl gezahlt und verhindert, dass Forscher versucht sind, die Sicherheitsanfälligkeit an private Unternehmen zu senden, die sogar zahlen siebenmal mehr.
Quelle> Ryan Pickren
