Falha de XSS no iCloud é descoberta por caçador de bugs

Falha de XSS no iCloud é descoberta por caçador de bugs

Por Felipe Ribeiro | 24 de Fevereiro de 2021 às 07h30
Mika Baumeister/Unsplash

Um caçador de recompensas virtual acabou descobrindo uma falha bizarra no iCloud, o ecossistema de armazenamento em nuvem da Apple. Segundo Vishal Bharad, que também é pesquisador e especialista em segurança cibernética, a ferramenta apresentou uma vulnerabilidade de cross-site scripting (XSS, na sigla em inglês) que não havia sido notada pela Maçã.

De acordo com o bug hunter, a falha foi encontrada no domínio do iCloud por meio da Página Principal da ferramenta quando o usuário deseja criar uma nova página ou anotação. Para invadir o sistema e explorar essa falha, basta que o hacker crie um novo conteúdo com uma carga de XSS sem maiores dificuldades. Para fazer a manutenção dessa invasão, o hacker teria apenas de salvar o arquivo e compartilhá-lo com outro usuário, modificando apenas uma ou outra coisa no arquivo malicioso.

Na prática, essas falhas XSS podem ser usadas para armazenar dados úteis em um servidor de destino, injetar scripts maliciosos em sites e, potencialmente, ser usadas para roubar cookies, tokens de sessão e dados do navegador. O pesquisador até gravou um vídeo, que pode ser visto abaixo, mostrando como que essa falha acontece.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Bharad chegou a enviar um relatório completo dessa falha para a Apple em agosto de 2020. A empresa o aceitou de imediato e pagou uma recompensa de US$ 5 mil em outubro do mesmo ano. No entanto, a Apple não se manifestou quanto à correção da vulnerabilidade.

Fonte: ZDNet

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.