Een hacker ontdekt een reeks exploits in Safari die angstaanjagende gevolgen kunnen hebben voor iPhone-, iPad- en Mac-gebruikers.
Onlangs werd een exploit ontdekt in de toepassingsmachtigingen van Apple die toegang hadden kunnen geven tot de camera's, microfoons en schermen van mensen op iOS en MacOS. Zoals de meeste exploits en hacks, profiteert deze van de aannames die de ontwerpers van Apple's toestemmingssystemen hebben gemaakt en werkt hij samen met die instellingen op een manier die ontwerpers niet in overweging hebben genomen. Het is niet iets dat de dagelijkse gebruiker ooit zou zijn tegengekomen, maar een goed geïnformeerde hacker had deze exploit op angstaanjagende manieren kunnen gebruiken.
De 'hacker' in dit geval is Ryan Pickren, die op dit moment als internetberoemd zou kunnen worden beschouwd. Hij heeft naam gemaakt als een gecontracteerde hacker die is belast met het gebruik van zijn vaardigheden om organisaties te helpen gaten in hun online beveiliging te ontdekken en te dichten. Zijn aanspraken op roem zijn zowel indrukwekkend als verontrustend, want hij heeft een aantal ongelooflijke technische prestaties geleverd. Na een korte ontmoeting met het gerechtelijk apparaat voor een illegale hack die hij had uitgevoerd op het voetbalteam van een collegiale rivaal, besloot hij zijn krachten ten goede te gebruiken en een carrière te beginnen op zoek naar bugbounties voor United Airlines.
Blijf scrollen om te blijven lezen Klik op de onderstaande knop om dit artikel in snelle weergave te starten.
Gelukkig, Pickren staat aan onze kant, aangezien zijn ontdekking van de beveiligingsfout met iOS-machtigingen aan Apple is overgedragen en verholpen. Het probleem kwam voort uit de manier waarop Apple-apparaten toegang vragen tot de hardware van een apparaat. Een typische app vraagt de gebruiker om hem toegang te geven tot tools zoals de camera, agenda, contacten, enzovoort. Elke smartphonegebruiker is bekend met die pop-up. Apple's eigen applicaties, zoals Safari, hebben echter vrijwel automatisch toegang tot de functies van het apparaat. Safari is dan in staat om die toegang te verlenen tot websites die een gebruiker bezoekt, om zaken als de webversies van Skype en Zoom te vergemakkelijken, waardoor ze direct toegang krijgen tot de camera en microfoon van een telefoon voor videoconferenties. Dit gemak is echter ook de weg die naar deze exploit leidt.
Hoe Safari de camera's van mensen had kunnen blootleggen
De blogpost van Ryan Pickren over deze kwestie geeft een uitvoerige gedetailleerde uitleg van hoe dit allemaal werkt, maar de extreem beknopte versie is dat hij in staat was om Safari te misleiden tot een verkeerde veronderstelling van welke websites een gebruiker bekijkt. Door middel van slimme scripts slaagde hij erin Safari ervan te overtuigen dat een webadres en de inhoud ervan hetzelfde waren als die van een andere - vertrouwde - website en ervoor te zorgen dat de browser de nepsite toegang tot het apparaat gaf.
Dit is, nogmaals, niet iets dat een gemiddelde hacker zou hebben kunnen bereiken, maar in het wild zou dit kunnen betekenen dat iemands iPhone-camera en microfoon kunnen worden ingeschakeld en ingesteld om op te nemen als ze de verkeerde websites bezoeken. Bovendien zou het kunnen worden bereikt zonder dat de gebruiker het weet, zelfs als ze dat maar zouden doen bezochte sites waarvan ze dachten dat ze veilig waren . Het is in wezen de ergste nachtmerrie van iedereen. Gelukkig werkte Apple samen met Pickren om het probleem op te lossen en de gaten te dichten die het vorige maand veroorzaakten. Voor zijn werk ontving de hacker $ 75.000.
Bron: Ryan Pickren