Un étudiant américain a piraté Mac et Apple lui a versé un montant record de 100,5 milliers de dollars pour cela
L'étudiant américain Ryan Pickren, qui étudie la cybersécurité et a déjà découvert des vulnérabilités dans les appareils photo iPhone et Mac, a réussi à pirater un Mac et a même reçu une récompense pour cela.
Pour quelle raison?
La vulnérabilité découverte par Pickren est liée à une série de problèmes avec Safari et iCloud, mais il dit qu'Apple a déjà résolu le problème. Cependant, une faille de sécurité pourrait donner à un attaquant un accès complet à tous comptes Web, d'iCloud à PayPal, ainsi que l'autorisation d'utiliser le microphone, l'appareil photo et le partage d'écran. En conséquence, le pirate pourrait obtenir un accès complet à l'ensemble du système de fichiers de l'appareil.
Comme l'explique Ryan, cela est possible grâce à l'utilisation des fichiers "webarchive" de Safari, le système que le navigateur utilise pour enregistrer des copies locales. sites Internet. « La caractéristique frappante de ces fichiers est qu'ils indiquent sources WebLe dans lequel le contenu doit être affiché. C'est une super astuce pour permettre à Safari de restaurer le contexte de l'enregistrement site Internet, mais comme l'ont souligné les auteurs de Metasploit en 2013, si un attaquant peut en quelque sorte modifier ce fichier d'une manière, il peut effectivement mettre en œuvre UXSS [Universal Cross Site Scripting]."
Pour ce faire, l'utilisateur doit télécharger le fichier archives Web, puis ouvrez-le. Mais Apple n'a pas considéré cela comme un scénario de piratage réaliste lors de sa première mise en œuvre archives Web safari. "Bien sûr, cette décision a été prise il y a près de dix ans, alors que le modèle de sécurité des navigateurs n'était pas encore aussi mature qu'il l'est aujourd'hui. Avant Safari 13, l'utilisateur ne recevait même aucun avertissement avant Site Internet fichiers arbitraires chargés. Alors mets le fichier archives Web c'était facile », note Pikren.
Apple n'a pas commenté cette étude, mais on sait que dans le cadre de la découverte d'erreurs dans le logiciel, l'étudiant a été payé 100 500 $. Il s'agit supposément du paiement le plus important d'Apple, bien que les frais maximaux officiels pour le programme soient de 1 million de dollars.
Une source: AppleInsider