News Apple Akan Memberikan Hadiah Bagi Hacker Yang Dapat Meretas WebCam MacBook

Keith

Keith Nasution
Staff member
Jan 4, 2022
304
4
18
Kuningan
haxor.id
HaxorCash
4,266‎‎ ‎‎HxC
Apple tahun lalu memperbaiki serangkaian kerentanan macOS baru yang mengekspos browser Safari untuk diserang, berpotensi memungkinkan aktor jahat mengakses akun online, mikrofon, dan webcam pengguna.

Peneliti keamanan Ryan Pickren, yang menemukan dan melaporkan bug ke pembuat iPhone, dikompensasikan dengan hadiah bug $ 100.500, menggarisbawahi tingkat keparahan masalah.

Dengan mengeksploitasi rantai masalah keamanan dengan Berbagi iCloud dan Safari 15, ini memungkinkan penyerang untuk membajak izin multimedia dan mendapatkan "akses penuh ke setiap situs web yang pernah dikunjungi oleh korban" di Safari, termasuk akun Gmail, iCloud, Facebook, dan PayPal.

Masalah tersebut secara khusus
Please, Log in or Register to view URLs content!
dengan ShareBear, mekanisme berbagi file iCloud yang meminta pengguna saat mencoba membuka dokumen bersama untuk pertama kalinya. Mengambil keuntungan dari fakta bahwa pengguna tidak pernah ditampilkan prompt lagi setelah mereka menerima untuk membuka file, Pickren menemukan bahwa mungkin untuk mengubah konten file menjadi apa saja oleh siapa saja yang memiliki akses ke file tersebut.

"ShareBear kemudian akan mengunduh dan memperbarui file di mesin korban tanpa interaksi atau pemberitahuan pengguna apa pun," Pickren
Please, Log in or Register to view URLs content!
dalam penulisan teknis. "Pada dasarnya, korban telah memberikan izin kepada penyerang untuk menanam file polimorfik ke mesin mereka dan izin untuk meluncurkannya dari jarak jauh kapan saja."



Dengan kata lain, file gambar dengan format .PNG dapat mengubah seluruh konten dan ekstensinya menjadi biner yang dapat dieksekusi ("evil.dmg") setelah pengguna setuju untuk membukanya. Biner kemudian dapat diluncurkan, memicu rantai eksploitasi yang memanfaatkan kelemahan tambahan yang ditemukan di Safari untuk mengambil alih mikrofon atau webcam mesin, atau bahkan mencuri file lokal —

  • Please, Log in or Register to view URLs content!
    – Masalah logika di WebKit yang memungkinkan aplikasi jahat melewati pemeriksaan Gatekeeper
  • Please, Log in or Register to view URLs content!
    – Masalah di Editor Skrip yang memungkinkan
    Please, Log in or Register to view URLs content!
    berbahaya untuk melewati pemeriksaan Gatekeeper dan menghindari pembatasan kotak pasir.
Ini adalah kedua kalinya Pickren mengungkapkan kekurangan di iOS dan macOS yang, jika berhasil dieksploitasi, dapat disalahgunakan untuk mengakses kamera secara tidak sah saat mengunjungi situs web yang dibuat khusus.

"Proyek ini merupakan eksplorasi menarik tentang bagaimana cacat desain dalam satu aplikasi dapat memungkinkan berbagai bug lain yang tidak terkait menjadi lebih berbahaya," kata Pickren. "Itu juga merupakan contoh yang bagus tentang bagaimana bahkan dengan macOS Gatekeeper diaktifkan, penyerang masih dapat melakukan banyak kerusakan dengan menipu aplikasi yang disetujui untuk melakukan hal-hal jahat."
 

About us

  • HaxorID used to be a community website for technology lovers, especially in the field of cyber security to learn, or develop their skills together for educational purposes. This is a place where we learn, a place where we can share information among members for research and share knowledge in the field of cyber security.

Quick Navigation

User Menu