骇客揭iPhone相机零时差漏洞 获苹果228万元赏金
▲Ryan Pickren于向苹果披露了多个零时差漏洞,其中3个漏洞可透过诱骗用户开启恶意网站的方式来劫持用户iPhone的相机。(图/取自免费图库Pixabay)
苹果于去年底在官网上发布了最新的漏洞悬赏给付计划,据外媒报导,苹果近日已向一名骇客支付了7.5万美元(约新台币228.1万元)奖励,因该名骇客于Safari中发现了多个零时差漏洞(zero-day vulnerability,又称作零日漏洞),其中一些漏洞可用于劫持iOS或macOS设备上的相机。
据《富比士》报导,Ryan Pickren于去年12月向苹果披露了其从Safari中发现的7个零时差漏洞,其中3个漏洞使其可透过诱骗用户开启恶意网站的方式来劫持用户iPhone的相机,同样的方法也适用于Mac上的网路摄影机。透过苹果的赏金计划,Ryan Pickren获得了由苹果支付的7.5万美元赏金,而苹果已于今年1月修复其中最严重的漏洞,其余则在上个月修复。
Ryan Pickren指出,这样的漏洞说明了为什么用户永远都不应该完全相信自己的相机是安全的,「无论是谁家制造的产品或运行着什么作业系统。」
安全研究员Sean Wright表示,尽管用户现在已会时时关注PC及笔电上的网路摄影机,但「很少有人会注意到手机上的相机及麦克风。」而这正是攻击者最有可能窃听被害人的途径之一。他说:「大多数人时时刻刻拿着手机,尤其在讨论敏感问题时,」尽管需要用户前往恶意网站确实增加了攻击的复杂性,但「这无疑是一种非常可行的攻击形式。」
苹果于去年8月在黑帽大会(Black Hat)上承诺扩大漏洞赏金计划范围,最终在同年12月上架最新的漏洞悬赏计划。此前,苹果的漏洞赏金计划仅限于iOS的漏洞,并采邀请制,限制可参与计划的人员。
新的悬赏计划将范围扩大扩大至iPadOS、macOS、tvOS、watchOS及iCloud,奖金上限则从原先的20万美元增加至100万美元,如若研究人员在beta版中发现漏洞,将可再额外获得50%的奖金,这意味着,提交报告的骇客或资安人员、团队最高可获得150万美元(约新台币4500万元)的奖金。