Noticias del Mundo en español
Apple paga $ 100,500 a estudiante que descubrió vulnerabilidad de cámara web Mac
Ryan Pickren, un estudiante de seguridad cibernética, recibió $100,500 como recompensa, luego de mostrarle a Apple cómo una vulnerabilidad le permite obtener acceso no autorizado a las cámaras web de Mac, lo que potencialmente puede dejar los dispositivos completamente abiertos a los piratas informáticos. Pickren dijo en una publicación de blog que esto podría lograrse explotando una serie de problemas con iCloud Sharing y Safari 15. “El error le da al atacante acceso completo a todos los sitios web que la víctima haya visitado. Eso significa que además de encender su cámara, mi error también puede piratear sus cuentas de iCloud, PayPal, Facebook, Gmail, etc.
Mientras tanto, notificó que Apple ahora ha solucionado esta vulnerabilidad. Según Pickren, el hack significaría en última instancia que un atacante podría obtener acceso total a todo el sistema de archivos de un dispositivo. Esto sería posible explotando los archivos «webarchive» de Safari. Webarchive es un formato de archivo creado en la web utilizado por el navegador web Safari. Contiene HTML, imágenes, sonido y video de páginas web visitadas anteriormente. “Una característica sorprendente de estos archivos es que especifican el origen web en el que se debe representar el contenido”, dijo Pickren.
“Hasta hace poco, ni siquiera se mostraban advertencias al usuario antes de que un sitio web descargara archivos arbitrarios. Así que plantar el archivo web fue fácil”, continuó. Sin embargo, ahora con Safari 13+, se les pregunta a los usuarios antes de cada descarga.
Cabe señalar que Apple no ha confirmado ninguna vulnerabilidad. Para los no iniciados, el programa de recompensas por errores de Apple ofrece $ 100,000 por ataques que obtienen «acceso no autorizado a datos confidenciales». Apple define los datos confidenciales como el acceso a contactos, correo, mensajes, notas, fotos o datos de ubicación.
Anteriormente, en mayo de 2021, los piratas informáticos explotaron Apple AirTag para modificar el firmware del dispositivo. Apple lanzó AirTag para ayudar a las personas a realizar un seguimiento de sus artículos extraviados. El rastreador habilitado para Bluetooth de Apple tiene según se informa ha sido pirateado por un investigador de ciberseguridad alemán según un Tweet que es el primero para el dispositivo. El investigador usó ingeniería inversa en el microcontrolador de AirTag para hackearlo.
