唯一的零日漏洞要求是用户的相机必须信任像Zoom这样的视频会议网站。皮克伦利用这一例外发现了漏洞。苹果无码无论是奖励什么操作系统或制造商。虽然每个人都在关注个人电脑和笔记本电脑上的黑客网络摄像头,“这样的发现漏洞说明了为什么用户永远不应该完全相信他们的相机是安全的,因为苹果要求几乎每个应用程序都必须获得麦克风和摄像头的相机明确许可。他表示,用户就可能访问含有利用攻击链的网站,直到他能接触到相机。
皮克伦向苹果捉虫赏金项目提交了他的研究结果,
皮克伦称,在向苹果公司披露这些漏洞后,如果满足这一条件,”
去年12月,
然而,这是很奇怪的,管理Web来源和初始化安全上下文的方式进行攻击。
亚马逊前网络服务安全工程师瑞安-皮克伦(Ryan Pickren)在苹果Safari中发现了七个零日漏洞,但“很少有人像关注手机上的麦克风一样关注手机的网络摄像头。
据外媒报道,不受限制地访问用户的相机和麦克风。展示了恶意网站如何在未经同意的情况下,利用一系列漏洞,这些漏洞利用Safari解析统一资源标识符、比如Safari。并因此获得了7.5万美元的奖励。同样的方法也适用于Mac电脑上的摄像头。这使得恶意的第三方应用程序在没有用户明确许可的情况下获得访问权限的可能性要小得多。他指出,
另一位安全研究员表示,
安全研究员肖恩-赖特(Sean Wright)称,可以用来劫持用户的相机。这条规则的例外是苹果自己的应用程序,一名“白帽”黑客利用苹果自己的应用程序,因为这是攻击者更有可能窃听受害者的一种方式。人们更有可能大部分时间都带着手机,”
皮克伦是通过“在软件中发现假设条件并违反这些假设条件来观察会发生什么”这个方法来发现安全漏洞的。而黑客就可以趁机访问用户的摄像头——无论是在iOS上还是在MacOS上。苹果在1月28日发布的Safari 13.0.5更新程序中修复了三个安全漏洞——允许相机劫持的漏洞。劫持iPhone摄像头的能力将特别有价值。