Kisah Mendapat Hadiah $100 Ribu karena Menemukan Bug Webcam Apple
(ryanpickren.com)-
Kerentanan yang memungkinkan akses ke kamera serta informasi semua situs web yang dikunjungi pengguna dengan memanfaatkan iCloud Sharing dan Safari 15
-
Menemukan dan melaporkan 4 bug 0-day, lalu menerima hadiah sebesar $100,500
-
Semua bug tersebut telah ditambal pada awal 2022, sehingga detail terkait kini dipublikasikan secara lengkap
Bug Universal Cross-Site Scripting (UXSS)
-
Dengan memanfaatkan kerentanan browser, kondisi XSS dapat dicapai dan akses ke semua situs menjadi mungkin
-
Memanfaatkan fakta bahwa aplikasi ShareBear, yang mengunduh dan menjalankan file iCloud, tidak bertanya lagi setelah sekali mengunduh dan menjalankan file
-
Setelah sekali mengunduh gambar dan memperoleh izin, penyerang dapat membuatnya mengunduh biner yang dapat dieksekusi lalu membuka Webarchive yang berisi kode serangan
-
Membuka webarchive ini secara langsung akan diblokir oleh Gatekeeper, jadi itu juga dilewati dengan membuat file URL Windows agar menautkannya
-
Untuk menulis alamat aktual di hard disk ke dalam isi file URL, alamat tersebut harus diketahui, tetapi karena itu sulit, terlebih dahulu file DMG di-mount
1 komentar
Penjelasannya saja sudah rumit.. entah berapa banyak waktu yang dihabiskan untuk menemukan ini.
Saya pernah juga mengunggah cerita tentang menghasilkan uang dari kerentanan Apple.