據《福布斯》報道稱,一名白帽黑客在 Safari 瀏覽器發現了 7 個零日漏洞 ,其中三個漏洞可以構建攻擊鏈,用來誘騙用戶訪問惡意網站,從而劫持蘋果手機和蘋果電腦的攝像頭,獲取用戶的影像資料。
不過用戶也不要擔心,該相機漏洞已在 1 月 28 日發佈的 Safari 13.0.5 中進行了修復,蘋果認為不那麼嚴重的其餘零日漏洞已在 3 月 24 日發佈的 Safari 13.1 中進行了修復。
為了獎勵這位黑客的做法,蘋果向白帽黑客 Ryan Pickren 給予了 75000 美元的獎勵(約合人民幣超過 53 萬元),因為後者發現了該公司軟件中的多個零日漏洞,而從去年 12 月開始,蘋果向所有安全研究人員開放了其漏洞賞金計劃。
蘋果的賞金計劃是啥
蘋果公司在 2016 年推出漏洞賞金計劃,將為發現軟件重大漏洞和缺陷的個人提供現金獎勵。
在此之前,蘋果的漏洞賞金計劃是基於邀請的,並且不包括非 iOS 設備。蘋果還根據安全漏洞的性質,將每個漏洞的賞金上限從 20 萬美元提高到了 100 萬美元,有實力的網友可以去試試,興許能發財。
什麼是零日漏洞(zero-day)
“零日漏洞”(zero-day)又叫零時差攻擊,是指
被發現後立即被惡意利用的安全漏洞。通俗地講,即安全補丁與瑕疵曝光的同一日內,相關的惡意程序就出現。這種攻擊往往具有很大的突發性與破壞性。
誰是 Ryan Pickren
獲獎的這名白帽黑客名為 Ryan Pickren,曾是 AWS 安全工程師,在大學期間 ,他就從聯合航空 Bug 賞金計劃中獲得了“價值超過 300,000 美元的航空里程”獎勵。
這種攻擊有多可怕
很多人都比較關注電腦攝像頭和監控攝像頭,但很少有人關注自己手機上的攝像頭和麥克風,相比電腦和監控攝像頭,我們接觸最多的還是手機,尤其是在討論敏感問題時,更容易洩露隱私,所以,這無疑是一種非常可行的攻擊方式。
參考:
Forbes | iPhone Camera Hacked: Three Zero-Days Used In $75,000 Attack Chain
閱讀更多 科技狐 的文章
