Publicidade
Conteúdo apoiado por
Ir para o site do Surfshark!

Falha de XSS no iCloud é descoberta por caçador de bugs

Por  | 

Compartilhe:
 Mika Baumeister/Unsplash
Mika Baumeister/Unsplash
Tudo sobre Apple

Um caçador de recompensas virtual acabou descobrindo uma falha bizarra no iCloud, o ecossistema de armazenamento em nuvem da Apple. Segundo Vishal Bharad, que também é pesquisador e especialista em segurança cibernética, a ferramenta apresentou uma vulnerabilidade de cross-site scripting (XSS, na sigla em inglês) que não havia sido notada pela Maçã.

De acordo com o bug hunter, a falha foi encontrada no domínio do iCloud por meio da Página Principal da ferramenta quando o usuário deseja criar uma nova página ou anotação. Para invadir o sistema e explorar essa falha, basta que o hacker crie um novo conteúdo com uma carga de XSS sem maiores dificuldades. Para fazer a manutenção dessa invasão, o hacker teria apenas de salvar o arquivo e compartilhá-lo com outro usuário, modificando apenas uma ou outra coisa no arquivo malicioso.

Na prática, essas falhas XSS podem ser usadas para armazenar dados úteis em um servidor de destino, injetar scripts maliciosos em sites e, potencialmente, ser usadas para roubar cookies, tokens de sessão e dados do navegador. O pesquisador até gravou um vídeo, que pode ser visto abaixo, mostrando como que essa falha acontece.

Canaltech
O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia
Continua após a publicidade

Bharad chegou a enviar um relatório completo dessa falha para a Apple em agosto de 2020. A empresa o aceitou de imediato e pagou uma recompensa de US$ 5 mil em outubro do mesmo ano. No entanto, a Apple não se manifestou quanto à correção da vulnerabilidade.

Fonte: ZDNet