Um hacker identificou diversas vulnerabilidades zero-day no navegador Safari, da Apple. Algumas dessas permitiam a invasão das câmeras de iPhones e MacBooks. De acordo com a Forbes, essa descoberta rendeu US$ 75 mil (R$ 395 mil em conversão direta) ao hacker, pagos pela própria companhia de Cupertino.
Uma vulnerabilidade zero-day significa que essa é uma brecha grave de segurança desconhecida tanto pelo público quanto pela empresa desenvolvedora do software. No entanto, ela já pode ser conhecida por crackers (hackers que utilizam o conhecimento para praticarem atividades criminosas ou maliciosas), que a exploram silenciosamente, aproveitando enquanto ela não é identificada.
O responsável por identificar as vulnerabilidades no Safari foi o hacker Ryan Pickren. Segundo relatos, ele “martelou o navegador com códigos” até que um comportamento estranho aparecesse.
De acordo com o relatório enviado à Apple por Pickren em dezembro passado, foram encontradas sete vulnerabilidades no navegador. Algumas delas podiam abrir páginas inseguras e permitir que um invasor obtivesse acesso à câmera do aparelho, enganando o usuário para que ele visitasse um site malicioso.
“Um bug como esse mostra por que os usuários nunca devem se sentir totalmente confiantes de que sua câmera está segura, independentemente do sistema operacional ou da fabricante”, afirmou Pickren em entrevista à Forbes.
Segundo a reportagem, a Apple imediatamente validou todos os sete erros, corrigindo três deles em uma nova atualização do Safari (presumivelmente a versão 13.0.5, lançada em 28 de janeiro), por serem considerados os mais graves. Os bugs restantes, menos perigosos na visão dos desenvolvedores, foram corrigidos na versão 13.1, lançada em março.
Apesar de ter descoberto um zero-day, Pickren ficou distante do valor máximo pago pela Apple, que oferece até US$ 1,5 milhão por vulnerabilidades mais sérias. No final de 2019, a empresa tornou público seu programa de recompensa por bugs e aumentou a recompensa, fornecendo também iPhones para pesquisadores de segurança que participarem da iniciativa.
Via: MacMagazine