Il colosso dell’informatica quale Apple ha premiato e deciso di ricompensare lo scopritore di una grave vulnerabilità con ben 100.500 dollari, la cifra più alta mai elargita dal gruppo di Cupertino.
Lo studente d’informatica che ha scoperto e segnalato la falla di sicurezza all’azienda di Cupertino, ha individuato una grave falla nella gestione delle fotocamere frontali dei Mac tramite Safari UXSS.
Su un sito web, lo studente spiega di aver rilevato un difetto che ha permesso di ottenere un accesso non autorizzato alla fotocamera di un dispositivo Apple. “Il trucco era passare attraverso una serie di messaggi di errore che riguardavano la condivisione di iCloud e l’ultima versione di Safari”.
Una volta eseguito il bug, la vittima ha ricevuto un pop-up che la invitava ad aprire un file e, se avesse premuto il pulsante “apri”, lo studente avrebbe avuto accesso alla sua fotocamera e pieno accesso a tutti i siti Web visitati in precedenza. Lo studente ha confermato inoltre di aver potuto accedere fraudolentemente agli account iCloud, Facebook, Gmail, PayPal e tanti altri servizi.
Oltre a una deviazione dei contenuti multimediali, questa falla di sicurezza ha permesso di hackerare un servizio di terze parti di Apple.
Questa ricerca ha prodotto 4 bug di 0 giorni (CVE-2021-30861, CVE-2021-30975 e due senza CVE), 2 dei quali sono stati utilizzati nell’hacking della fotocamera.
Gli sviluppatori hanno risolto il problema molto velocemente e la falla è stata chiusa. Sul suo sito web lo studente spiega in dettaglio come è riuscito ad accedere alla fotocamera di un utente di Safari 15 e come è riuscito ad hackerare gli account iCloud, Gmail, Facebook.
https://www.gearrice.com/update/student-receives-100500-reward-after-finding-safari-vulnerability/
