Publicidade

Falha de XSS no iCloud é descoberta por caçador de bugs

Por| 24 de Fevereiro de 2021 às 07h30

Link copiado!

 Mika Baumeister/Unsplash
Mika Baumeister/Unsplash
Tudo sobre Apple

Um caçador de recompensas virtual acabou descobrindo uma falha bizarra no iCloud, o ecossistema de armazenamento em nuvem da Apple. Segundo Vishal Bharad, que também é pesquisador e especialista em segurança cibernética, a ferramenta apresentou uma vulnerabilidade de cross-site scripting (XSS, na sigla em inglês) que não havia sido notada pela Maçã.

De acordo com o bug hunter, a falha foi encontrada no domínio do iCloud por meio da Página Principal da ferramenta quando o usuário deseja criar uma nova página ou anotação. Para invadir o sistema e explorar essa falha, basta que o hacker crie um novo conteúdo com uma carga de XSS sem maiores dificuldades. Para fazer a manutenção dessa invasão, o hacker teria apenas de salvar o arquivo e compartilhá-lo com outro usuário, modificando apenas uma ou outra coisa no arquivo malicioso.

Na prática, essas falhas XSS podem ser usadas para armazenar dados úteis em um servidor de destino, injetar scripts maliciosos em sites e, potencialmente, ser usadas para roubar cookies, tokens de sessão e dados do navegador. O pesquisador até gravou um vídeo, que pode ser visto abaixo, mostrando como que essa falha acontece.

Continua após a publicidade

Bharad chegou a enviar um relatório completo dessa falha para a Apple em agosto de 2020. A empresa o aceitou de imediato e pagou uma recompensa de US$ 5 mil em outubro do mesmo ano. No entanto, a Apple não se manifestou quanto à correção da vulnerabilidade.

Fonte: ZDNet