Az Apple 75 ezer dollárt (24 millió forint) díjat fizetett ki annak az etikus hackernek, aki bebizonyította, hogy hét különböző sérülékenység segítségével egy külső támadó számítógépünk kamerájához, mikrofonjához, helyzetéhez és egyes esetekben az elmentett jelszavakhoz juthatott volna hozzá. A hibák a Safari böngészőben jelentkeztek, a gyártó mindet kijavította, és frissítette a böngészőt.

Elég lett volna egy weboldalt meglátogatni – mely nem ártó szándékú, de akaratukon kívül kártékony hirdetéseket is betölt – a Safari böngészővel, ahhoz, hogy a támadó titokban átvegye az irányítást az eszköz kamerája, mikrofonja, netán helyzete felett, sőt egyes esetekben akár a tárolt jelszavakhoz is hozzáférhettek volna. Az Apple szerencséjére a sérülékenységeket egy etikus hacker, Ryan Pickren fedezte fel, aki egymaga mutatta meg a hibát a gyártónak.

Az Apple nem volt hálátlan, és 75 ezer dolláros jutalmat fizetett ki az etikus hackernek. A vállalat már kijavította a hibákat, több részletben, az első hibajavítás a 2020. január 28-án kiadott 13.0.5-ös számú Safari verzióval érkezett, a március 24-i 13.1-es Safari változatában már teljesen megszüntették őket.

A biztonsági szakember ugyanis észrevette, hogy ha egy káros szándékú weboldal hozzáférést szeretett volna kapni az adott gép webkamerájához, mikrofonjához, nem kellett volna egyebet tegyen, mint hogy egy, a böngésző által megbízhatónak tartott weboldalnak álcázza magát.

Ugyanis a Safari böngésző első használatkor megkérdezi a felhasználótól, hogy szeretnénk egy adott weboldalnak megengedni, hogy hozzáférjen a kameránkhoz, mikrofonunkhoz. Ez történik például, amikor a Skype vagy Google Hangouts webes verzióját szeretnénk használni. Amikor visszalátogatunk arra az oldalra, észbe tartja, hogy első alkalommal mit választottunk és annak megfelelően engedi vagy sem a webkamera, mikrofon használatát. Azonban a biztonsági szakértő rájött, hogy a Safari a webcímek ellenőrzésekor – vagyis amikor megnézi, hogy ugyanazon az oldalon vagyunk-e vagy sem – figyelmen kívül hagyta webcím www. előtti részét. Így a https://www.példa.hu weboldal és hamis://www.példa.hu oldalakat ugyanannak az oldalnak vélte – így a kamerához, mikrofonhoz hozzáférést adott a hamis oldalnak is.

A szakember szerint ezzel a módszerrel a jelszavakat is el lehetett lopni – a Safari beépített jelszómenedzsere automatikusan detektálja, hogy milyen weboldalon vagyunk és kitölti helyettünk az előzőleg elmentett jelszavakat. A kutató összesen hét nulladik napi sebezhetőséget fedezett fel a böngészőben, melyeket az almás gyártó március végéig a frissítésekben már javított – ha nem telepítettük volna eddig a biztonsági javításokat, itt az idő bepótolni.

Az Apple hosszú ideig nem tartott fenn hibavadász programokat a külső etikus hackerek számára, mondván, termékei a legbiztonságosabbak. Azonban tavaly ők is beadták derekukat, és a szélesebb közönség előtt is megnyitották hibavadász programjukat, melyben elméletileg akár másfél millió dolláros jutalmat is kioszthatnak.