Gli hacker in genere hanno una cattiva reputazione, ma senza di loro molti problemi di sicurezza rimarrebbero inosservati. Ciò è stato dimostrato da Ryan Pickren, un dottorato in sicurezza informatica. studente al Georgia Institute of Technology.
Pickren ha riscontrato una pericolosa vulnerabilità sui dispositivi Apple Mac che consentiva l'accesso non autorizzato alla fotocamera. Lo riferì ad Apple e per il suo contributo gli fu pagata una taglia record di 100.500 dollari.
L'hacker ha descritto il processo di hacking in a lungo post sul blog, entrando nel dettaglio su come è riuscito a raggiungere il risultato finale. I bug ruotano attorno allo sfruttamento dei problemi con la condivisione iCloud e il browser Safari 15. Sebbene il problema possa sembrare situazionale e difficilmente replicabile, basta una vulnerabilità affinché un hacker possa ottenere il controllo del dispositivo di una persona.
Video consigliati
La vulnerabilità è iniziata con un iCloud app di condivisione chiamata ShareBear. Attraverso ShareBear, gli utenti possono concedersi l'accesso reciproco per condividere documenti senza problemi. Una volta che l'utente accettava l'invito a condividere un determinato file con un'altra persona, Mac ricordava questa autorizzazione e non la richiedeva mai più. Sfortunatamente, anche se a prima vista sembra una caratteristica interessante per la qualità della vita, può portare a degli exploit.
Poiché il file è archiviato nel cloud e non localmente, può essere scambiato in qualsiasi momento dopo aver concesso l'autorizzazione. Ciò può comportare la trasformazione di una semplice immagine o file di testo in un file eseguibile con codice dannoso. Pickren ha utilizzato questo exploit per modificare i tipi di file e ottenere l'accesso completo a quelli dell'utente Mac.
Pickren ha dichiarato sul suo sito web: “Sebbene questo bug richieda alla vittima di fare clic su ‘apri’ su un popup dal mio sito web, il risultato è qualcosa di più del semplice dirottamento dei permessi multimediali. Questa volta, il bug fornisce all'aggressore pieno accesso a tutti i siti web visitati dalla vittima. Ciò significa che oltre ad accendere la tua fotocamera, il mio bug può anche hackerare iCloud, PayPal, Facebook, Gmail, ecc. anche i conti”.
Il file, una volta effettuato l'accesso tramite ShareBear, può essere avviato da remoto in qualsiasi momento senza ulteriori richieste. Come spiega Pickren, questo apre sicuramente le porte a un hack potenzialmente molto pericoloso, garantendo pieno accesso al Mac in questione.
Apple ha corretto il bug in MacOS Monterey 12.0.1 (lanciato il 25 ottobre 2021) dopo che Pickren lo aveva segnalato a luglio. La sua taglia di 100.500 dollari è, secondo Pickren, la più alta che Apple abbia mai offerto attraverso il suo programma di sicurezza. Anche Apple lo ha fatto di recente risolto un altro bug critico, questa volta coinvolgendo WebKit.
Questo non è stato il primo rodeo di hacking Apple di Pickren. Nel 2019, è riuscito ad hackerare la fotocamera e il microfono dell’iPhone, esponendo una serie di pericolose vulnerabilità nel codice Apple. Apple lo ricompensò generosamente per i suoi sforzi, dandogli 75.000 dollari in cambio della scoperta e della segnalazione dei bug.
Raccomandazioni degli editori
- Un'importante fuga di notizie rivela tutti i segreti dei Mac su cui Apple sta lavorando
- Ecco perché il chip M3 del MacBook di Apple potrebbe distruggere i suoi rivali
- Il Mac mini M2 da 600 dollari di Apple cancella il Mac Pro da 6.000 dollari
- Apple annuncia il nuovo MacBook Pro con chip M2 Pro e M2 Max
- Ecco cosa sappiamo dei massicci lanci di Mac che Apple ha pianificato per il 2023
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
