《福布斯》的一份报告称,黑客瑞安·皮克伦(Ryan Pickren)从苹果的漏洞奖励计划中得到7.5万美元,原因是他在苹果软件中发现了七个零日漏洞。
一名黑客发现了不少于七个零日漏洞,使他能够构建一个杀死链,只使用其中三个,成功劫持iPhone的摄像头。任何iOS或macOS的相机都可以。他是这样做的,接下来发生了什么……这是作为这个苹果虫赏金计划的一部分,Ryan Pickren概念证明的创始人BugPoC共享平台,负责任的披露他的七个零日漏洞发现使他劫持iPhone摄像头,并获得了none-too-shabby 75000美元从苹果公司为他的努力。
据报道,在2019年12月,Pickren starter将“敲打”苹果的Safari浏览器,以揭露苹果iOS和macOS的怪异行为,尤其是与摄像头安全相关的行为。最终,他在Safari中发现了7个零日漏洞,其中3个可以用于“相机黑客杀死链”。该漏洞包括欺骗用户访问一个恶意网站。
“我的研究发现了7个漏洞,”皮克伦说,“但最终只有3个漏洞被用来访问摄像头/麦克风。苹果公司立即确认了所有7个漏洞,并在几周后发布了3个漏洞的修正版。”在1月28日发布的Safari 13.0.5更新中,解决了为期三天的相机杀毒链漏洞。剩余的零日漏洞被判断为不那么严重,在3月24日发布的Safari 13.1中进行了修补。
正如您将注意到的,所有这些bug都已经被修补和修复了,所以您不需要担心它们。对于黑客和安全公司来说,向公司披露他们的发现是一种标准的行业惯例,这给了他们在公开之前修补问题的时间。皮克伦为自己的麻烦赚了7.5万美元,这是不容小觑的。苹果的安全奖励计划可以为最严重的攻击支付高达150万美元。关于这个项目,皮克伦说:
“在报告这些问题时,我真的很喜欢与苹果产品安全团队合作……新的赏金计划绝对会帮助保护产品和客户。我真的很高兴苹果接受了安全研究社区的帮助。”