Apple 历来是拥有最安全操作系统的公司。 但是,一年来, Android 已经成为更安全的操作系统, 漏洞 在Google的操作系统中发现的费用要昂贵得多。 错误 在于苹果浏览器 ,该漏洞具有严重的漏洞,可以通过它进行间谍活动 相机 .
苹果负责维护 Safari 。 您的浏览器是封闭源,与 铬。 因此,Google浏览器对它的关注更多,从而发现了可能的漏洞。 就苹果公司而言,该公司是独立存在的,并且存在七个漏洞 瑞安·皮克伦(Ryan Pickren) 亚马逊网络服务(AWS)的前安全工程师的发现,证明了这一点。
在iOS和macOS上监视相机的7个漏洞
在Safari中发现的七个漏洞中, CVE-2020-3852,CVE-2020-3864,CVE-2020-3865,CVE-2020-3885,CVE-2020-3887,CVE-2020-9784和CVE-2020-9787 ),其中三个允许黑客访问 Mac 或 iPhone 当用户点击 恶意链接 .
几乎所有应用程序都需要特定的权限才能访问 相机和麦克风 ,但Apple本身除外,例如Safari。 因此,Pickren逐渐发现了漏洞,直到他设法访问摄像机。 例如,对于Safari iOS,浏览器无需询问即可访问摄像机,并且借助诸如MediaDevices Web API(用于WebRTC广播)的新技术,允许网站利用此权限。 对于像这样的应用程序 Skype或Zoom ,但如果系统中发现漏洞,则允许访问摄像机。
CVE-2020-3864,CVE-2020-3865和CVE-2020-9784漏洞已修复为 Safari 13.0.5于28月XNUMX日发布 ,而其他四个(CVE-2020-3852,CVE-2020-3885,CVE-2020-3887和CVE-2020-9787)已修补 24月13.1日,使用Safari XNUMX 。 问题是,尽管它们已得到修复,但由于Safari仍然是易受攻击的浏览器,因此将来可能会发现新的可访问相机的文件。
苹果已经付给他75,000美元
苹果将该漏洞归类为“商业网络 没有用户交互的攻击:零点击未经授权对敏感数据的访问”,他们为此付费 易武 。 该数字与Zerodium所提供的数据形成对比,Zerordium是一家私营公司,然后将漏洞转售给间谍公司。 远程执行代码和本地特权升级漏洞的费用为500,000美元。 事实是,有必要至少单击一次与该链接进行交互,因此Apple选择该类别的选择可能是支付更高的价格,并防止研究人员被诱使将该漏洞发送给甚至为此付费的私营公司。七倍多。
