Falha de XSS no iCloud é descoberta por caçador de bugs

Views: 70
0 0
Read Time:1 Minute, 14 Second

Por Felipe Ribeiro

Um caçador de recompensas virtual acabou descobrindo uma falha bizarra no iCloud, o ecossistema de armazenamento em nuvem da Apple. Segundo Vishal Bharad, que também é pesquisador e especialista em segurança cibernética, a ferramenta apresentou uma vulnerabilidade de cross-site scripting (XSS, na sigla em inglês) que não havia sido notada pela Maçã.

De acordo com o bug hunter, a falha foi encontrada no domínio do iCloud por meio da Página Principal da ferramenta quando o usuário deseja criar uma nova página ou anotação. Para invadir o sistema e explorar essa falha, basta que o hacker crie um novo conteúdo com uma carga de XSS sem maiores dificuldades. Para fazer a manutenção dessa invasão, o hacker teria apenas de salvar o arquivo e compartilhá-lo com outro usuário, modificando apenas uma ou outra coisa no arquivo malicioso.

Na prática, essas falhas XSS podem ser usadas para armazenar dados úteis em um servidor de destino, injetar scripts maliciosos em sites e, potencialmente, ser usadas para roubar cookies, tokens de sessão e dados do navegador. O pesquisador até gravou um vídeo, que pode ser visto abaixo, mostrando como que essa falha acontece.

Bharad chegou a enviar um relatório completo dessa falha para a Apple em agosto de 2020. A empresa o aceitou de imediato e pagou uma recompensa de US$ 5 mil em outubro do mesmo ano. No entanto, a Apple não se manifestou quanto à correção da vulnerabilidade

FONTE: CANALTECH

Previous post Investimento em segurança da informação se torna vantagem competitiva em 2021
Next post Entenda como a LGPD poderá te ajudar a proteger seus dados pessoais

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *