Almába harap: beletörhet a foga

Az Apple 75 ezer dollárt (24 millió forint) díjat fizetett ki annak az etikus hackernek, aki bebizonyította, hogy hét különböző sérülékenység segítségével egy külső támadó számítógépünk kamerájához, mikrofonjához, helyzetéhez és egyes esetekben az elmentett jelszavakhoz juthatott volna hozzá. A hibák a Safari böngészőben jelentkeztek, a gyártó mindet megszüntette, és frissítette a böngészőt.

Elég lett volna egy weboldalt meglátogatni – mely nem ártó szándékú, de akaratukon kívül kártékony hirdetéseket is betölt – a Safari böngészővel, ahhoz, hogy a támadó titokban átvegye az irányítást az eszköz kamerája, mikrofonja, netán helyzete felett, sőt egyes esetekben akár a tárolt jelszavakhoz is hozzáférhettek volna. Az Apple szerencséjére a sérülékenységeket egy etikus hacker, Ryan Pickren fedezte fel, aki egymaga mutatta meg a hibát a gyártónak.

Az Apple nem volt hálátlan, és 75 ezer dolláros jutalmat fizetett ki az etikus hackernek. A vállalat hozzálátott a hibák megszüntetéséhez, és január 28-március 24. között tökéletesítette a Safariját.

Ryan Pickren biztonsági szakember észrevette: ha ártó szándékú weboldal hozzáférést szeretett volna kapni az adott gép webkamerájához, mikrofonjához, nem kellett volna egyebet tennnie, mint azt, hogy a böngésző által megbízhatónak tartott weboldalnak álcázza magát.

A Safari böngésző az első használatkor ugyanis megkérdezi a használójától, hogy szeretné-e egy adott weboldalnak megengedni, hogy hozzáférjen a kamerához, mikrofonhoz. Ez történik például, mielőtt a Skype vagy Google Hangouts webes verzióját szeretnénk használni. Amikor visszalátogatunk arra az oldalra, észben tartja, hogy első alkalommal mit választottunk és annak megfelelően engedi vagy sem a webkamera, mikrofon használatát. A biztonsági szakértő viszont rájött, hogy a Safari a webcímek ellenőrzésekor – vagyis amikor megnézi, hogy ugyanazon az oldalon vagyunk-e vagy sem – figyelmen kívül hagyta webcím www. előtti részét. Így a https://www.pelda.hu weboldal és hamis://www.pelda.hu oldalakat ugyanannak az oldalnak vélte – így a kamerához, mikrofonhoz hozzáférést adott a hamis oldalnak is.

A szakember szerint ezzel a módszerrel a jelszavakat is el lehetett lopni – a Safari beépített jelszókezelője automatikusan megállapítja, hogy milyen weboldalon vagyunk és kitölti helyettünk az előzőleg elmentett jelszavakat. A kutató összesen hét, nulladik napi sebezhetőséget fedezett fel a böngészőben, melyet az almás gyártó március végéig a frissítésekben már javított – ha nem telepítettük volna eddig a biztonsági javításokat, itt az idő a cselekvésre.

Az Apple hosszú ideig nem tartott fenn hibavadász-programokat a külső etikus hackerek számára, mondván, termékei a legbiztonságosabbak. Azonban tavaly beadta a derekát, és a széles nyilvánosság előtt is megnyitotta hibavadász-programját, melyben elméletileg akár másfél millió dolláros jutalmat is kioszthat.