Em 2021, um estudante de cibersegurança descobriu uma forma de hackear as webcams dos Macs informou à Apple, que pagou US$ 100 mil ao rapaz como forma do programa de recompensas de descoberta de bugs.
No total, o estudante recebeu US$ 100.500,00 da Apple, pois os 500 dólares são uma gratificação devido às colaborações anteriores do estudante com a Apple.
Você também deve ler!
- Adolescente hackeou 25 carros da Tesla em 13 países diferentes
- David Colombo, adolescente que hackeou carros da Tesla, revela as falhas do sistema
Em 2019, o mesmo estudante, Ryan Pickren, já havia hackeado a câmera do iPhone e resolveu partir para cima do Mac.
Pickren afirmou que a nova vulnerabilidade da webcam do Mac é relacionada a uma série de problemas do Safari e do iCloud, que, segundo ele, a Apple já corrigiu.
No entanto, antes da correção, um site malicioso poderia efetuar um ataque através dessas falhas, acessando todos websites da vítima.
O MacOS, sistema operacional dos computadores da Apple, possui proteções para prevenir esse tipo de ataque, incluindo o Gatekeeper, que confirma a validade do software que o Mac pode rodar.
:upscale:():format:(jpeg)/@/static/wp/2021/04/20/apple-new-imac-spring21-color-lineup-04202021-inline.jpg.large-2x.jpg?fit=scale)
No entanto, o estudante conseguiu se desviar dessas proteções ao utilizar de recursos do iCloud e o Safari, confiáveis pelo MacOS.
Estudante se aproveitou do ecossistema da Apple
Ao procurar por potenciais falhas no Safari, o estudante vasculhou o mecanismo de compartilhamento de documentos do iCloud devido à “confiança inerente” entre o iCloud e o MacOS.
Por exemplo, ao compartilhar um documento com outro usuário via iCloud, a Apple usa um aplicativo escondido chamado ShareBear, para coordenar a transferência.
:upscale:():format:(png)/@/static/wp/2022/01/26/safari-sharebear.png?fit=scale)
Assim, o estudante descobriu poder manipular esse app usado pela Apple para enviar arquivos maliciosos.
Na verdade, o arquivo não precisa ser malicioso de início, o que facilita o envio às vítimas ao oferecer algo mais convincente e, desse modo, induzi-las a clicar. Certamente, essa facilidade se deu pela “confiança” entre o Safari, o iCloud e o ShareBear.
US$ 100 mil foi a maior recompensa paga pela Apple
“Meu hack conseguiu obter, sem autorização, acesso à câmera ao explorar uma série de problemas com o iCloud e o Safari 15. Embora esses bugs exijam que a vítima clique em ‘abrir’ em um pop-up do meu site, o resultado é muito mais que uma permissão para invadir a multimídia do sistema. Desta vez, o bug permite que o invasor obtenha total acesso a qualquer site já visitado pela vítima. Isso significa que, além de controlar a câmera, o meu também bug consegue hackear suas contas do iCloud, PayPal, Gmail, Facebook, etc.”
:upscale:():format:(png)/@/static/wp/2022/01/26/sites-hacker-apple.png?fit=scale)
Com a descoberta, o estudante informou as falhas à Apple em julho de 2021 e recebeu a bolada de US$ 100 mil no início deste ano. De acordo com ele, essa é a maior recompensa já paga pela Apple para alguém que descobriu uma falha em seus serviços.
Fonte: Ryan Pricken
Veja também
Sobre o Autor
Deixe seu comentário