해커가 Safari 내에서 iPhone, iPad 및 Mac 사용자에게 끔찍한 영향을 미칠 수있는 일련의 공격을 발견합니다.
최근 iOS 및 MacOS에서 사람들의 카메라, 마이크 및 화면에 대한 액세스를 허용 할 수있는 Apple의 애플리케이션 권한에서 악용이 발견되었습니다. 대부분의 익스플로잇 및 해킹과 마찬가지로, 이것은 Apple의 권한 시스템 디자이너가 만든 가정을 활용하고 디자이너가 고려하지 않은 방식으로 이러한 설정과 상호 작용합니다. 일상적인 사용자가 접할 수있는 것은 아니지만 정보에 입각 한 해커는이 익스플로잇을 끔찍한 방식으로 사용할 수 있습니다.
이 경우 '해커'는이 시점에서 인터넷으로 유명한 것으로 간주 될 수있는 Ryan Pickren입니다. 그는 조직이 온라인 보안의 허점을 발견하고 해결하는 데 도움을주기 위해 자신의 기술 세트를 사용하는 계약 해커라는 이름을 얻었습니다. 그의 명성에 대한 그의 주장은 믿을 수없는 기술적 침입의 업적을 달성했기 때문에 인상적이면서도 불안합니다. 대학 라이벌의 축구 팀에서 불법 해킹에 대한 사법 시스템에 잠깐 들어간 후 그는 자신의 권한을 선의로 사용하고 United Airlines의 버그 현상금을 쫓는 경력을 시작하기로 결정했습니다.
계속 읽으려면 계속 스크롤 빠른보기에서이 문서를 시작하려면 아래 버튼을 클릭하세요.
다행히도, Pickren iOS 권한에 대한 그의 보안 결함 발견이 Apple에 넘겨지고 수정 되었기 때문에 우리 편입니다. 이 문제는 Apple 장치가 장치 하드웨어에 대한 액세스를 요청하는 방식에서 비롯되었습니다. 일반적인 앱은 사용자에게 카메라, 캘린더, 연락처 등과 같은 도구에 대한 액세스 권한을 부여하라는 메시지를 표시합니다. 모든 스마트 폰 사용자는이 팝업에 익숙합니다. 그러나 Safari와 같은 Apple의 자사 애플리케이션은 장치의 기능에 거의 자동으로 액세스 할 수 있습니다. 그런 다음 Safari는 사용자가 방문하는 웹 사이트에 대한 액세스 권한을 부여하여 Skype 및 Zoom의 웹 버전과 같은 기능을 통해 화상 회의를 위해 휴대폰의 카메라와 마이크에 즉시 액세스 할 수 있습니다. 그러나 이러한 편리함은이 악용으로 이어지는 길이기도합니다.
사파리가 사람들의 카메라를 노출시킨 방법
이 문제에 대한 Ryan Pickren의 블로그 게시물은이 모든 것이 어떻게 작동하는지 철저하게 설명하지만 극도로 요약 된 버전은 Safari를 속여 사용자가 어떤 웹 사이트를보고 있는지에 대한 잘못된 가정을 할 수 있다는 것입니다. 몇 가지 영리한 스크립팅을 통해 그는 웹 주소와 그 내용이 다른 신뢰할 수있는 웹 사이트와 동일하다는 사실을 Safari를 설득하고 브라우저가 장치에 대한 가짜 사이트 액세스 권한을 부여하도록했습니다.
이것은 일반 해커가 수행 할 수있는 작업은 아니지만, 야생에서는 누군가의 iPhone 카메라와 마이크를 켜고 잘못된 웹 사이트를 방문한 경우 녹화하도록 설정할 수 있음을 의미 할 수 있습니다. 또한 사용자가 알지 못하는 사이에 수행 할 수 있습니다. 안전하다고 생각한 사이트를 방문했습니다. . 본질적으로 모든 사람의 최악의 감시 악몽입니다. 다행히도 Apple은 Pickren과 협력하여 문제를 해결하고 지난 달에 문제를 일으킨 구멍을 수정했습니다. 그의 작업에 대해 해커는 $ 75,000의 보상을 받았습니다.
출처: 라이언 픽렌