Un pirate informatique découvre une série d'exploits dans Safari qui pourraient avoir des implications terrifiantes pour les utilisateurs d'iPhone, d'iPad et de Mac.
Un exploit a récemment été découvert dans les autorisations d'application d'Apple qui auraient pu donner accès aux caméras, microphones et écrans des utilisateurs sur iOS et MacOS. Comme la plupart des exploits et des hacks, celui-ci tire parti des hypothèses formulées par les concepteurs des systèmes d'autorisations d'Apple et interagit avec ces paramètres d'une manière que ces concepteurs n'ont pas prise en compte. Ce n'est pas quelque chose que l'utilisateur ordinaire aurait jamais rencontré, mais un pirate informatique informé aurait pu utiliser cet exploit de manière terrifiante.
Le «hacker» dans ce cas est Ryan Pickren, qui pourrait être considéré comme Internet célèbre à ce stade. Il s'est fait un nom en tant que pirate informatique sous contrat chargé d'utiliser ses compétences pour aider les organisations à découvrir et à combler les lacunes de leur sécurité en ligne. Ses prétentions à la renommée sont à la fois impressionnantes et troublantes car il a réalisé des exploits incroyables d'intrusion technique. Après une brève confrontation avec le système judiciaire pour un piratage illégal qu'il a commis sur l'équipe de football d'un rival collégial, il a décidé d'utiliser ses pouvoirs pour de bon et de se lancer dans une carrière à la recherche de primes de bogues pour United Airlines.
Continuez à faire défiler pour continuer à lire Cliquez sur le bouton ci-dessous pour démarrer cet article en vue rapide.
Heureusement, Pickren est de notre côté car sa découverte de la faille de sécurité avec les autorisations iOS a été transférée à Apple et corrigée. Le problème provenait de la façon dont les appareils Apple demandent l'accès au matériel d'un appareil. Une application typique invitera l'utilisateur à lui donner accès à des outils tels que l'appareil photo, le calendrier, les contacts, etc. Tout utilisateur de smartphone est familier avec cette fenêtre contextuelle. Cependant, les applications propriétaires d'Apple, comme Safari, ont un accès pratiquement automatique aux fonctionnalités de l'appareil. Safari est alors capable d'accorder cet accès aux sites Web qu'un utilisateur visite, pour faciliter des choses comme les versions Web de Skype et Zoom en obtenant un accès instantané à la caméra et au micro d'un téléphone pour la visioconférence. Cette commodité, cependant, est également la voie menant à cet exploit.
Comment Safari aurait pu exposer les caméras des gens
Le billet de blog de Ryan Pickren sur ce problème donne une explication exhaustive et détaillée de la façon dont tout cela fonctionne, mais la version extrêmement condensée est qu'il a pu tromper Safari en lui faisant une fausse hypothèse sur les sites Web consultés par un utilisateur. Grâce à des scripts intelligents, il a réussi à convaincre Safari qu'une adresse Web et son contenu étaient identiques à ceux d'un autre site Web de confiance et ont amené le navigateur à donner au faux site l'accès à l'appareil.
Ce n'est, encore une fois, quelque chose qu'un pirate informatique moyen aurait pu accomplir, mais dans la nature, cela aurait pu signifier que la caméra et le microphone de l'iPhone de n'importe qui pouvaient être allumés et configurés pour enregistrer s'ils visitaient les mauvais sites Web. De plus, cela pourrait être accompli sans que l'utilisateur le sache, même s'il visité des sites qu'ils pensaient sûrs . C'est essentiellement le pire cauchemar de surveillance de tout le monde. Heureusement, Apple a travaillé avec Pickren pour résoudre le problème et a corrigé les trous qui l'avaient causé le mois dernier. Pour son travail, le hacker a été récompensé de 75 000 $.
La source: Ryan Pickren