मैक वेब कैमरा भेद्यता की खोज करने वाले छात्र को ऐप्पल $ 100,500 का भुगतान करता है

एक साइबर सुरक्षा छात्र रयान पिकरेन को एक इनाम के रूप में $100,500 से सम्मानित किया गया था, जब उसने Apple को दिखाया कि कैसे एक भेद्यता उसे मैक वेबकैम तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है जो संभावित रूप से हैकर्स के लिए डिवाइस को पूरी तरह से खुला छोड़ सकती है। पिकरेन ने एक ब्लॉग पोस्ट में कहा कि यह आईक्लाउड शेयरिंग और सफारी 15 के साथ कई मुद्दों का फायदा उठाकर हासिल किया जा सकता है। “बग हमलावर को पीड़ित द्वारा देखी गई हर वेबसाइट तक पूरी पहुंच प्रदान करता है। इसका मतलब है कि आपके कैमरे को चालू करने के अलावा, मेरा बग आपके आईक्लाउड, पेपाल, फेसबुक, जीमेल आदि खातों को भी हैक कर सकता है।

इस बीच, उन्होंने सूचित किया कि Apple ने अब इस भेद्यता को ठीक कर दिया है। पिकरेन के अनुसार, हैक का अर्थ अंततः यह होगा कि एक हमलावर डिवाइस के संपूर्ण फाइल सिस्टम तक पूर्ण पहुंच प्राप्त कर सकता है। यह सफारी की “वेबआर्काइव” फाइलों का दोहन करके संभव होगा। Webarchive एक वेब-निर्मित फ़ाइल स्वरूप है जिसका उपयोग Safari वेब ब्राउज़र द्वारा किया जाता है। इसमें पहले देखे गए वेब पेजों से HTML, चित्र, ध्वनि और वीडियो शामिल हैं। “इन फ़ाइलों की एक चौंकाने वाली विशेषता यह है कि वे उस वेब मूल को निर्दिष्ट करते हैं जिसमें सामग्री को प्रस्तुत किया जाना चाहिए,” पिकरेन ने कहा।

“हाल ही में, वेबसाइट द्वारा मनमानी फ़ाइलों को डाउनलोड करने से पहले उपयोगकर्ता को कोई चेतावनी भी प्रदर्शित नहीं की जाती थी। इसलिए वेबआर्काइव फ़ाइल को रोपना आसान था,” उन्होंने जारी रखा। हालांकि, अब सफारी 13+ के साथ, उपयोगकर्ताओं को प्रत्येक डाउनलोड से पहले संकेत दिया जाता है।

यह ध्यान दिया जाना चाहिए कि Apple ने किसी भी भेद्यता की पुष्टि नहीं की है। शुरुआती लोगों के लिए, ऐप्पल का बग बाउंटी प्रोग्राम “संवेदनशील डेटा तक अनधिकृत पहुंच” प्राप्त करने वाले हमलों के लिए $ 100,000 प्रदान करता है। Apple संवेदनशील डेटा को कॉन्टैक्ट्स, मेल, मैसेज, नोट्स, फोटो या लोकेशन डेटा तक पहुंच के रूप में परिभाषित करता है।

इससे पहले, मई 2021 में, डिवाइस के फर्मवेयर को संशोधित करने के लिए हैकर्स द्वारा Apple AirTag का शोषण किया गया था। Apple ने AirTag जारी किया था ताकि लोगों को उनके गुम हुए सामानों पर नज़र रखने में मदद मिल सके। Apple द्वारा ब्लूटूथ-सक्षम ट्रैकर को कथित तौर पर एक जर्मन साइबर सुरक्षा शोधकर्ता द्वारा एक ट्वीट के अनुसार हैक कर लिया गया है जो डिवाइस के लिए पहली बार है। शोधकर्ता ने इसे हैक करने के लिए एयरटैग के माइक्रोकंट्रोलर पर रिवर्स-इंजीनियरिंग का इस्तेमाल किया।

.