Про це пише AppleInsider.

За словами студента, котрий освоює кібербезпеку, нова вразливість пов’язана із проблемами Safari та iCloud, котрі Apple вже виправила. До того, як проблеми були виправлені, шкідливий сайт міг запустити атаку, використовуючи проломи у безпеці.

У своєму звіті, Пікрен пояснює, що експлойт дає повний доступ до облікових записів користувача та дозволи на використання мікрофона, камери та демонстрацію вмісту екрана.

Можливість атаки з використанням вразливості у веб-архіві Safari описувалася ще у 2013 році. За словами Райана Пікрена, той факт, що вразливість проіснувала так довго свідчить про те, що в Apple не вважали реалістичним злом за допомогою веб-архіву.

“Звичайно, це рішення було ухвалено майже десять років тому, коли модель безпеки браузера ще не була такою зрілою, як сьогодні. До Safari 13 користувач навіть не отримував попереджень, перш ніж веб-сайт завантажував довільні файли. Тому розмістити на комп’ютері жертви фальшивий файл було легко”, – зазначив Пікрен

Компанія Apple заплатила студенту $100 500 у межах програми виявлення помилок у програмному забезпеченні. Раніше компанію критикували за занадто малий розмір виплат та за те, що розробники повільно виправляли виявлені ентузіастами помилки.