駭客揭iPhone相機零時差漏洞 獲蘋果228萬元賞金

▲Ryan Pickren於向蘋果披露了多個零時差漏洞,其中3個漏洞可透過誘騙用戶開啓惡意網站方式來劫持用戶iPhone的相機。(圖/取自免費圖庫Pixabay)

記者王曉敏綜合報導

蘋果於去年底在官網上發佈了最新的漏洞懸賞給付計劃,據外媒報導,蘋果近日已向一名駭客支付了7.5萬美元(約新臺幣228.1萬元)獎勵,因該名駭客於Safari中發現了多個零時差漏洞(zero-day vulnerability,又稱作零日漏洞),其中一些漏洞可用於劫持iOS或macOS設備上的相機。

據《富比士》報導,Ryan Pickren於去年12月向蘋果披露了其從Safari中發現的7個零時差漏洞,其中3個漏洞使其可透過誘騙用戶開啓惡意網站的方式來劫持用戶iPhone的相機,同樣的方法也適用於Mac上的網路攝影機。透過蘋果的賞金計劃,Ryan Pickren獲得了由蘋果支付的7.5萬美元賞金,而蘋果已於今年1月修復其中最嚴重的漏洞,其餘則在上個月修復。

Ryan Pickren指出,這樣的漏洞說明了爲什麼用戶永遠都不應該完全相信自己的相機是安全的,「無論是誰家制造的產品或運行着什麼作業系統。」

安全研究員Sean Wright表示,儘管用戶現在已會時時關注PC及筆電上的網路攝影機,但「很少有人會注意到手機上的相機及麥克風。」而這正是攻擊者最有可能竊聽被害人途徑之一。他說:「大多數人時時刻刻拿着手機,尤其在討論敏感問題時,」儘管需要用戶前往惡意網站確實增加了攻擊的複雜性,但「這無疑是一種非常可行的攻擊形式。」

蘋果於去年8月在黑帽大會(Black Hat)上承諾擴大漏洞賞金計劃範圍,最終在同年12月上架最新的漏洞懸賞計劃。此前,蘋果的漏洞賞金計劃僅限於iOS的漏洞,並採邀請制,限制可參與計劃的人員

新的懸賞計劃將範圍擴大擴大至iPadOS、macOS、tvOS、watchOS及iCloud,獎金上限則從原先的20萬美元增加至100萬美元,如若研究人員在beta版中發現漏洞,將可再額外獲得50%的獎金,這意味着,提交報告的駭客或資安人員、團隊最高可獲得150萬美元(約新臺幣4500萬元)的獎金。