Chercheur de bogues, Ryan Pickren a reçu 100 500 $ d’Apple en guise de prime pour avoir découvert le piratage de la webcam Mac. Pickren avait découvert qu’en exploitant une série de problèmes avec iCloud et Safari 15, il pouvait accéder à la webcam de Mac et, plus important encore, accéder à l’historique de navigation des victimes. Ainsi, la somme de la prime payée est considérée comme le montant le plus élevé payé dans le cadre du programme de primes aux bogues de l’entreprise.

En plus de ses propres chercheurs en sécurité, Apple invite les chercheurs indépendants à s’inscrire dans le cadre de son programme de primes aux bogues pour trouver et signaler les failles de sécurité et recevoir des récompenses en espèces. Le montant de chaque prix de cendres est déterminé par la nature de l’exploit. Et pour les exploits liés à iCloud, le prix en espèces sur la page d’assistance d’Apple est de 100 000 $, mais Pickren a reçu 500 $. au-dessus du montant du prix fixé.

Un étudiant décerne la prime de bogue la plus élevée par Apple pour avoir signalé un piratage de Mac qui a donné accès aux utilisateurs multimédia et aux comptes

Dans son rapport détaillé article sur le piratage de la webcam Mac, Pickren a expliqué qu’un bogue Safari UXSS aurait pu permettre aux attaquants d’accéder à la webcam, au microphone et à leurs comptes des utilisateurs comme iCloud, Facebook et Pay Pal. Cet exploit a été corrigé par Apple.

Mon piratage a réussi à obtenir un accès non autorisé à la caméra en exploitant une série de problèmes avec le partage iCloud et Safari 15. Bien que ce bogue oblige la victime à cliquer sur”ouvrir”sur une fenêtre contextuelle de mon site Web, il entraîne plus qu’un simple détournement d’autorisation multimédia. Cette fois, le bogue donne à l’attaquant un accès complet à tous les sites Web visités par la victime. Cela signifie qu’en plus d’allumer votre appareil photo, mon bogue peut également pirater vos comptes iCloud, PayPal, Facebook, Gmail, etc.

Cette recherche a abouti à 4 bogues de 0 jour (CVE-2021-30861, CVE-2021-30975, et deux sans CVE), dont 2 ont été utilisés dans le piratage de la caméra. J’ai signalé cette chaîne à Apple et j’ai reçu une prime de 100 500 $.

Pickren est devenu l’un des rares chercheurs en sécurité à être satisfait du programme de primes aux bogues d’Apple. Auparavant, plusieurs chercheurs se sont plaints du programme et ont accusé le géant de la technologie d’être insensible non seulement en reconnaissant leurs failles de sécurité découvertes, mais également indifférent à la correction des vulnérabilités.

En savoir plus :

Categories: IT Info