据《福布斯》报道称,一名白帽黑客在 Safari 浏览器发现了 7 个零日漏洞 ,其中三个漏洞可以构建攻击链,用来诱骗用户访问恶意网站,从而劫持苹果手机和苹果电脑的摄像头,获取用户的影像资料。
不过用户也不要担心,该相机漏洞已在 1 月 28 日发布的 Safari 13.0.5 中进行了修复 ,苹果认为不那么严重的其余零日漏洞已在 3 月 24 日发布的 Safari 13.1 中进行了修复。
为了奖励这位黑客的做法,苹果向白帽黑客 Ryan Pickren 给予了 75000 美元的奖励(约合人民币超过 53 万元) ,因为后者发现了该公司软件中的多个零日漏洞,而从去年 12 月开始,苹果向所有安全研究人员开放了其漏洞赏金计划。
苹果的赏金计划是啥
苹果公司在 2016 年推出漏洞赏金计划,将为发现软件重大漏洞和缺陷的个人提供现金奖励。
在此之前,苹果的漏洞赏金计划是基于邀请的,并且不包括非 iOS 设备。苹果还根据安全漏洞的性质,将每个漏洞的赏金上限从 20 万美元提高到了 100 万美元 ,有实力的网友可以去试试,兴许能发财。
什么是零日漏洞(zero-day)
“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞 。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。
谁是 Ryan Pickren
获奖的这名白帽黑客名为 Ryan Pickren,曾是 AWS 安全工程师,在大学期间 ,他就从联合航空 Bug 赏金计划中获得了“价值超过 300,000 美元的航空里程”奖励。
这种攻击有多可怕
很多人都比较关注电脑摄像头和监控摄像头,但很少有人关注自己手机上的摄像头和麦克风,相比电脑和监控摄像头,我们接触最多的还是手机 ,尤其是在讨论敏感问题时,更容易泄露隐私 ,所以,这无疑是一种非常可行的攻击方式。
参考:
Forbes | iPhone Camera Hacked: Three Zero-Days Used In $75,000 Attack Chain
文章来源:科技狐