Tietoturvatutkijalle 75 000 dollarin palkinto Applelta – paljasti vakavan kamera- ja mikrofonihaavoittuvuuden iPhoneista ja muista Apple-laitteista

Markus Lehtiniitty | Julkaistu pe 3.4.2020, klo 15:23

Jaa tämä

• Facebook
• Twitter
• LinkedIn
• WhatsApp

iPhone 11 Pro -malleissa on kolme takakameraa.

Hyväntahtoinen hakkeri, tietoturvatutkija Ryan Pickren löysi Applen laitteiden käyttöjärjestelmistä viime joulukuussa joukon yhdessä erittäin vakavia haavoittuvuuksia, jotka mahdollistivat hyökkääjälle pääsyn käsiksi iPhonen, iPadin tai Applen Mac-tietokoneiden kameraan ja mikrofoniin.

Tapahtuneesta uutisoi nyt Forbes-julkaisu.

Pickren kertoi löydöksistään Applelle, joka korjasi kolmesta hyödynnetystä haavoittuvuudesta vaarallisimman tammikuussa ja muut maaliskuussa. Kannattaa siis huolehtia, että omiin Apple-laitteisiin on asennettu tuoreimmat päivitykset.

MAINOS (ARTIKKELI JATKUU ALLA)

Hyökkäyksessä hyödynnettiin Applen Safari-verkkoselaimesta löytyneitä haavoittuvuuksia.

Tavallisesti Apple edellyttää sovellusten pyytävän käyttäjältä lupaa kameran ja mikforonin käyttämiseksi mutta Applen omat sovellukset, kuten Safari-verkkoselain ovat tästä poikkeus.

Yhteensä asiaa tutkiessaan Pickren paljasti peräti seitsemän haavoittuvuutta ja yhdisti kolme niistä saadakseen verkkoselaimen kautta pääsyn iPhonen kamerakuvaan ja mikrofonin ääneen. Haavoittuvuuksien hyväksikäyttö olisi voinut mahdollistaa salakatselun ja -kuuntelun.

MAINOS (ARTIKKELI JATKUU ALLA)

Apple maksoi Pickrenille palkkiona 75 000 dollaria haavoittuvuuksien raportoinnista.

Jaa tämä

• Facebook
• Twitter
• LinkedIn
• WhatsApp

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla

Kommentoi

Kirjaudu sisään kommentoidaksesi.

1. 3.4.2020, klo 20:27

   Kirjaudu sisään vastataksesi

   jeandarch

   75 000 $ vs. 1,2 MILJOONAA DOLLARIA

   Applen kamera- ja mikrofonikehityksessä on ollut viimeisen kuuden vuoden aikana noin 200 henkilöä, joiden R&D- eli siis pelkkä D-kustannus on ollut 120 M$US (mitään R:ää eli Researchiä ei ole Applessa tehty koskaan):

   – 6 vsi x 200 henk. x 100 000 $US/vsi-henk. = 120 M$US eli 120 000 000 $US.

   Kun tietoturvatutkija Ryan Pickrenin huolellinen ja ammattimainen työ yhdistetään mahdolliseen katastrofiin salakatselun ja -kuuntelun myötä, on 75 000 dollaria liian vähän.

   Laskentaa voidaan arvioida seuraavasti:
   1. Jos Pickren ei olisi löytänyt haavoittuvuuksia, olisi jonain päivänä miljardien vuoto tapahtunut Applella
   2. Jos Pickren olisi löytänyt haavoittuvuudet, mutta olisi crackeri, joka haluaa tuhota Applea, olisi Applen tappio useissa miljardeissa
   3. Kun Pickren teki syvällistä työtä ja raportoi asiasta, miljardien tappioita ei tullut, ja …
   4. … samalla Pickren teki 10-20 Applen tietoturvan ja koodauksen ammattilaisen työn kuudelta vuodelta, joten…
   5. … Pickrenin palkkion pitäisi olla 6 vsi x 10 henk. x 100 000 $US/vsi-henk. = 6 M$US eli 6 000 000 $US, siis kuusi miljoonaa dollaria. Tai sama kaksi kertaa, eli 20 henkilön työ = 2 x 6 miljoonaa = 12 miljoonaa dollaria.

   75 000 dollarin palkkio on maapähkinöitä verrattuna vaikka 1:10 tai 1:20 palkkioon, jotka olisivat 1,2 tai 0,6 miljoonaa dollaria. Jo tästä 1:10… 1:20 -pyöristyksestä Apple maksoi palkkiona näistä vielä yhden kymmenyksen.

   Ei ihme, että hakkeri muuttuu krakkeriksi, koska saa paremmat tuotot vilpillä!

   P.S. Mainittakoon, että Pickrenin palkkio 1,2 miljoonaa dollaria olisi saatu kasaan yksinkertaisesti irtisanomalla 12 henkilöä heti. Tuosta ryhmästä löytyy jopa enemmän alisuorittajia. Näiden 12 henkilön vuotuinen kulu Applella on paljon enemmän kuin 100 000 $US, pikemminkin 200 000 $US, joten 1-2-miljoonaa dollaria olisi ollut minimikohtuullinen palkkio.

   – Ex-ICT-alan disruptiivinen pomo