苹果公司向一名网络安全专业的学生颁发了10.05万美元的奖励，该学生向这家科技巨头展示了Mac电脑的网络摄像头是如何被黑客入侵的，以及这些设备是如何万博体育登录首页被黑客攻击的。奖励来自苹果的漏洞赏金计划。

苹果奖励网络安全学生

这名名叫瑞安·皮克伦(Ryan Pickren)的学生过去曾发现过Mac摄像头和iPhone摄像头的漏洞。现在，据报道，他已经获得了苹果公司最大的漏洞赏金苹果内幕。

皮克伦说，新的网络摄像头漏洞涉及iCloud和Safari的几个问题。他说，苹果现在已经修复了这些问题，但在修复之前，恶意网站可能会利用这些问题发起攻击。

在他对这次发现的完整描述中，Pickren解释说，这将使黑客能够完全访问所有基于网络的账户，从PayPal到iCloud。

还读:如果你能黑进iPhone或Mac，苹果将给你100万美元:这是一个圈套

该漏洞还会允许黑客使用该设备的摄像头、麦克风和屏幕共享功能《连线》杂志。

如果黑客使用了摄像头，它的正常绿灯就会正常亮起。

Pickren报告说，同样的攻击意味着黑客可以获得对设备整个文件系统的完全访问权。它将通过利用Safari的网络存档文件来实现这一点，Safari是浏览器用来保存网站本地副本的系统。

皮克伦说，这些文件的一个惊人特征是，它们指定了内容应该呈现的网络来源。他说，这是一个让Safari重新构建保存的网站上下文的好技巧。

但是作为作者Metasploit写在2013年，如果黑客可以修改这个文件，他们就可以通过设计实现通用跨站脚本或UXSS。

用户必须下载一个网络存档文件，然后打开它。皮克伦表示，这意味着苹果在首次为Safari浏览器提供网络存档功能时，并没有考虑到这种黑客攻击的现实情况。

Pickren补充说，这个决定是10年前做出的，当时浏览器安全模型还不像今天这么成熟。

加强Mac的安全性

Pickren补充说，在Safari 13推出之前，在网站下载任意文件之前，不会向用户显示任何警告。这意味着植入网络存档文件非常容易。

苹果公司尚未就该漏洞发表声明，也未透露是否知道该漏洞已被利用。

但这家科技巨头已万博体育登录首页经从其漏洞赏金计划中向皮克伦支付了10.05万美元，比过去报道的赏金多了500美元。

苹果的漏洞赏金计划可以正式奖励人们高达100万美元，此外，这家科技公万博体育登录首页司还发布了一份报告的每种安全问题的最高金额清单。

去年,由于沟通不畅，苹果的漏洞赏金计划备受抨击付款混乱等问题。苹果公司尚未对研究人员的指控做出回应。

目前，没有要求安全专家向公众披露他们获得了多少奖金。

苹果公司可能向皮克伦支付了超过10.05万美元。然而，这家科技巨头此前曾因万博体育登录首页支付给员工的薪酬低于自己的上限以及修补漏洞的速度太慢而受到批评。

相关文章:发现FaceTime漏洞的14岁男孩可能有资格获得苹果的漏洞赏金计划

本文归科技时报所有万博体育登录首页

作者:苏菲·韦伯斯特