Apple выплатила вознаграждение в размере 100 тысяч долларов после того, как студент, изучавший кибербезопасность, успешно взломал камеру iPhone еще в 2019 году, сделал то же самое с камерой Mac.
Райан Пикрен использовал творческий подход, который позволил ему запускать произвольный код на целевом Mac, и получил то, что, по его мнению, является самой большой наградой за обнаружение ошибок, которую Apple когда-либо выплачивала…
Задний план
Пикрен — аспирант по кибербезопасности в Технологическом институте Джорджии. Еще в 2019 году он обнаружил ряд уязвимостей, которые он использовал, чтобы позволить ему включать камеру и микрофоны iPhone без необходимости предоставления пользователем разрешений на конфиденциальность.
Он сказал, что безопасность камеры Apple была «довольно интенсивной», но ему удалось объединить несколько эксплойтов, чтобы победить ее. Он сообщил об этом производителю iPhone, который устранил уязвимости и выплатил ему вознаграждение в размере 75 000 долларов.
Новый эксплойт взломал веб-камеру Mac
Не удовлетворившись этим, Пикрен в прошлом году решил посмотреть, сможет ли он взять под контроль веб-камеру Mac, и ему это удалось. Однако путь, который он нашел, позволил ему сделать гораздо больше!
Мой взлом успешно получил несанкционированный доступ к камере, используя ряд проблем с iCloud Sharing и Safari 15. Хотя эта ошибка требует, чтобы жертва нажимала «открыть» во всплывающем окне на моем веб-сайте, это приводит к большему, чем просто перехват мультимедийных разрешений. На этот раз ошибка дает злоумышленнику полный доступ ко всем веб-сайтам, которые когда-либо посещала жертва. Это означает, что помимо включения вашей камеры, моя ошибка также может взломать ваши учетные записи iCloud, PayPal, Facebook, Gmail и т. д.
Детали несколько запутаны, но одним из ключей к этому была уязвимость в приложении обмена iCloud под названием ShareBear.
Если вы примете приглашение поделиться документом с кем-либо, Mac запомнит, что вы дали разрешение, и не спросит вас, откроете ли вы тот же файл позже. Однако, поскольку этот файл хранится удаленно, владелец может изменить его после того, как вы получите к нему доступ. Важно отметить, что файл можно изменить на файл совершенно другого типа, включая исполняемый файл, и он все равно будет открываться без вывода сообщений.
Это дало Пикрену возможность превратить невинный файл, такой как документ или изображение Pages, во вредоносное ПО, которое ваш Mac с радостью запустит.
Это было намного больше, чем это, как вы можете прочитать в его подробном прохождении, но подход на высшем уровне был следующим:
Убедить пользователя открыть невиновный удаленно общий документ. Впоследствии преобразовать этот документ в образ диска, содержащий вредоносное ПО. Обмануть Safari, чтобы открыть образ и запустить вредоносное ПО.
Это позволило ему делать огромное количество вещей, в том числе активировать веб-камеру и микрофоны Mac. Apple подключает контрольный светодиод к камере, поэтому невозможно включить камеру, не зажигая зеленый светодиод, но это может легко остаться незамеченным, если Mac просто сидит в углу комнаты в это время.
Apple выплачивает вознаграждение за обнаружение ошибок в размере 100 тысяч долларов
Пикрен отправил в Apple отчеты обо всех использованных уязвимостях, позволив компании исправить их.
Этот проект был интересным исследованием того, как недостаток дизайна в одном приложении может привести к тому, что множество других, не связанных между собой ошибок станут более опасными. Это также был отличный пример того, как даже с включенным macOS Gatekeeper злоумышленник все еще может причинить много вреда, обманом заставив утвержденные приложения выполнять вредоносные действия.
Я отправил эти ошибки в Apple в середине июля 2021 года. Они исправили все проблемы в начале 2022 года и наградили меня 100 500 долларов в качестве награды.
Первое исправление заключалось в том, что ShareBear просто открывал файлы, а не запускал их (исправлено в macOS Monterey 12.0.1 без присвоения CVE).
Второе исправление заключалось в том, чтобы запретить WebKit открывать любые помещенные в карантин файлы (исправлено в Safari 15 как CVE-2021-30861; см. реализацию исправления здесь).
Пикрен считает, что это самая большая сумма, которую когда-либо выплачивала компания в рамках своей программы безопасности.
