Um pesquisador de segurança que descobriu mais de meia dúzia de vulnerabilidades de dia zero no navegador Safari ganhou US$ 75.000 do programa de recompensas por bugs da Apple. Algumas dessas falhas poderiam ter permitido que invasores acessassem a webcam de computadores Mac, bem como a câmera de iPhones e iPads.
Ryan Pickren Ele publicou diversos artigos em seu site sobre as vulnerabilidades. Encontrou sete vulnerabilidades no total (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 e CVE-2020-9787), três das quais estavam diretamente relacionadas a possíveis invasões de câmeras em dispositivos macOS e iOS.
Falhas de segurança no navegador permitiram que um hacker enganasse o Safari, fazendo-o acreditar que um site malicioso era confiável. Esse ataque poderia ser iniciado por um código JavaScript capaz de criar uma janela pop-up (como um site independente, um banner publicitário incorporado ou uma extensão do navegador). O hacker usa as credenciais do usuário para comprometer sua privacidade, em parte devido à capacidade da Apple de armazenar as configurações de segurança de cada site. Como resultado, o site malicioso poderia se passar por um portal de videoconferência confiável, como o Skype ou o Zoom, e obter acesso à câmera do usuário.
Pickren apresentou suas descobertas à Apple, o que levou a uma atualização do Safari em janeiro (versão 13.0.5), que corrigiu três vulnerabilidades de segurança. A Apple lançou então outra atualização em março (versão 13.1), que solucionou as falhas de segurança restantes.
Para quem se interessa por mais detalhes, o "caçador de bugs" descreveu o processo de invasão em seu blog, incluindo os detalhes técnicos. Quanto ao programa de recompensas por bugs da Apple, as recompensas para bugs descobertos variam de um mínimo de US$ 5000 a US$ 1 milhão.
Fonte: 3dnews.ru
