האקר "כובע לבן" מוסרי ניצל את האפליקציות של אפל בדצמבר כדי להראות כיצד אתר זדוני יכול לקבל גישה בלתי מוגבלת למצלמה ולמיקרופון של משתמש ללא הסכמה באמצעות פגמים שתוקנו מאז.
מהנדס האבטחה לשעבר של שירותי האינטרנט של אמזון, ריאן פיקרן, גילה שבע נקודות תורפה של אפס יום.ספארישיכול לשמש כדי לחטוף מצלמות של משתמשים. הפגיעויות ניצלו את הדרך שבה ספארי ניתח מזהי משאבים אחידים, ניהל מקורות אינטרנט ואיתחול הקשרים מאובטחים.
הדרישה היחידה הייתה שהמצלמה של המשתמש הייתה צריכה לסמוך על אתר ועידות וידאו, כמוזום. אם הקריטריונים הללו התקיימו, משתמש יכול לבקר באתר שהשתמש בשרשרת התקיפה, והאקר יוכל לקבל גישה למצלמת המשתמש - הן בiOSוmacOS.
פיקרן הגיש את המחקר שלו לתוכנית Apple Bug Bounty וקיבל $75,000 עבור תרומתו. אפל תיקנה שלושה מפגמי האבטחה - אלו שאפשרו חטיפת מצלמה - בעדכון ספארי 13.0.5 של 28 בינואר. ארבעת הפגמים הנותרים לא תוקנו עד הSafari 13.1 יצא ב-24 במרץ.
"באג כזה מראה מדוע משתמשים לעולם לא צריכים להרגיש בטוחים לחלוטין שהמצלמה שלהם מאובטחת", אמר פיקרןפורבס, "ללא קשר למערכת הפעלה או ליצרן."
פיקרן גילה את הבאג על ידי "מציאת הנחות בתוכנה והפרת הנחות אלו כדי לראות מה קורה". הוא ציין שקשה לפיצוח את דגם האבטחה של המצלמה, שכן אפל דורשת כמעט לכל אפליקציה לקבל הרשאה מפורשת למיקרופון ולמצלמה. זה מפחית בהרבה את הסבירות שאפליקציה זדונית של צד שלישי יכולה לקבל גישה ללא רשות מפורשת של המשתמש.
החריג לכלל, לעומת זאת, הוא האפליקציות של אפל עצמה, כמו ספארי. פיקרן הצליח לנצל את החריג הזה כדי לחשוף את הבאגים. הוא הצליח "לחבוט את הדפדפן במארזים פינתיים לא ברורים" עד שקיבל גישה למצלמה.
