| 26 янв 2022 — 4:40 PT
Apple выплатила вознаграждение за обнаружение ошибки в размере 100 000 долларов после того, как студент, изучающий кибербезопасность, который успешно получил доступ к камере iPhone еще в 2019 году, сделал то же самое с камерой Mac.
Райан Пикрен использовал нестандартный подход, который позволил ему выполнять произвольный код на целевом Mac, и получил, по его мнению, самое большое вознаграждение за обнаружение ошибки, когда-либо выплаченное Apple…
Предыстория
Пикрен — аспирант кафедры кибербезопасности Технологического института Джорджии. Еще в 2019 году он обнаружил ряд уязвимостей, которые использовал для того, чтобы включать камеру и микрофоны iPhone без необходимости предоставления пользователем разрешений на конфиденциальность.
Он сказал, что безопасность камеры Apple была «довольно интенсивной», но ему удалось объединить несколько эксплойтов, чтобы обойти ее. Он сообщил об этом производителю iPhone, который исправил уязвимости и выплатил ему вознаграждение за обнаружение ошибки в размере 75 000 долларов.
Новый эксплойт получил доступ к веб-камере Mac
Не удовлетворившись этим, Пикрен в прошлом году решил выяснить, сможет ли он взять под контроль веб-камеру Mac, и ему это удалось. Однако найденный им путь позволил сделать гораздо больше!
Мой взлом успешно получил несанкционированный доступ к камере, используя ряд проблем с iCloud Sharing и Safari 15. Хотя эта ошибка требует, чтобы жертва нажала «открыть» во всплывающем окне с моего сайта, она приводит не только к нарушению мультимедийных разрешений. На этот раз ошибка дает злоумышленнику полный доступ ко всем сайтам, которые когда-либо посещал жертва. Это означает, что помимо включения вашей камеры, моя ошибка также может взломать ваши учетные записи iCloud, PayPal, Facebook, Gmail и т. д.
Детали довольно сложны, но одним из ключей к этому была уязвимость в приложении для совместного использования iCloud под названием ShareBear.
Если вы принимаете приглашение поделиться документом с кем-то, Mac запоминает, что вы предоставили разрешение, и не спрашивает вас повторно при последующем открытии того же файла. Однако, поскольку файл хранится удаленно, владелец может изменить его после того, как вы получили к нему доступ. Важно, что файл мог быть изменен на совершенно другой тип файла, включая исполняемый, и все равно был бы бесшумно открыт.
Это дало Пикрену возможность превратить безобидный файл, такой как документ Pages или изображение, в вредоносное ПО, которое ваш Mac с удовольствием запускал.
Там было гораздо больше, чем это, как вы можете прочитать в его подробном описании, но общий подход был следующим:
- Убедить пользователя открыть безобидный удаленно общий документ
- Затем изменить этот документ на образ диска, содержащий вредоносное ПО
- Обмануть Safari, чтобы он открыл образ и запустил вредоносное ПО
- Сделать это таким образом, чтобы не срабатывал Gatekeeper
Это позволило ему сделать огромное количество вещей, в том числе активировать веб-камеру и микрофоны Mac. Apple действительно жестко подключила индикаторный светодиод к камере, поэтому невозможно включить камеру, не зажегши при этом зеленый светодиод, но это легко может остаться незамеченным, если Mac просто стоит в углу комнаты в это время.
Apple выплачивает вознаграждение за ошибку в размере 100 000 долларов
Пикрен подал отчеты Apple обо всех использованных уязвимостях, позволив компании исправить их.
Этот проект представлял собой интересное исследование того, как недостаток дизайна в одном приложении может привести к тому, что ряд других, не связанных с ним, ошибок станут более опасными. Это также был отличный пример того, как даже при включенном macOS Gatekeeper злоумышленник все еще может нанести много вреда, обманывая утвержденные приложения, заставляя их выполнять вредоносные действия.
Я отправил эти ошибки в Apple в середине июля 2021 года. Они исправили все проблемы в начале 2022 года и выплатили мне вознаграждение в размере 100 500 долларов.
Первым исправлением стало то, что ShareBear просто *отображал* файлы, а не *запускал* их (исправлено в macOS Monterey 12.0.1 без назначения CVE).
Вторым исправлением стало предотвращение открытия WebKit любых помещенных в карантин файлов (исправлено в Safari 15 как CVE-2021-30861; см. реализацию исправления здесь).
Пикрен считает, что это самая крупная сумма, когда-либо выплаченная компанией в рамках ее программы безопасности.