Un étudiant reçoit 100 500 dollars de récompense après avoir trouvé une faille sur Safari
- 👨 Julien Russo
- Il y a 3 ans (Màj il y a 3 ans)
- 💬 1 com
Belle récompense pour ce hacker
Être étudiant et toucher une somme comme celle-ci, c'est un sacré coup de pouce. Toutefois, c'est mérité puisque ce jeune homme a réussi à trouver une faille dans la caméra avant via Safari UXSS, une erreur qui a été commise par les développeurs d'Apple.
Sur un site internet, l'étudiant explique avoir détecté une faille qui permettait d'obtenir un accès non autorisé à la caméra d'un appareil Apple. L'astuce consistait à passer par une série de messages d'erreur qui concernait le partage iCloud et la dernière version de Safari.
Une fois le bug exécuté, la victime recevait une pop-up qui l'invitait à ouvrir un fichier, si celle-ci appuyait sur le bouton "ouvrir", l'étudiant avait accès à sa caméra, mais aussi à un accès complet de tous les sites web qui avait été visités précédemment. Le jeune homme confirme également avoir pu accéder frauduleusement aux comptes iCloud, Facebook, Gmail, PayPal et de bien d'autres services !
En plus d'un détournement de contenus multimédia, cette faille de sécurité permettait de hacker un service tiers à Apple, imaginez si cela était tombé entre les mains de personnes malintentionnées...
Cette recherche a donné lieu à 4 bugs 0day (CVE-2021-30861, CVE-2021-30975, et deux sans CVE), dont 2 ont été utilisés dans le piratage de la caméra.
Dès la remontée réalisée par l'étudiant, une certaine frayeur semble avoir conquis l'Apple Park puisque les développeurs ont réglé le problème très rapidement (comparé à certains cas où ça peut prendre parfois plus d'un an avant d'être corrigé).
Après avoir reçu le virement, l'étudiant a regardé si la faille signalée était bouchée et il confirme que l'enchaînement d'erreurs qui lui permettait d'accéder à la caméra ne fonctionne plus aussi bien, il atteste que le détournement est devenu "considérablement plus difficile".
Il note également que l'accès à la caméra avant est maintenant autorisé que sur du protocole https via Safari 15 et qu'il faut que le domaine corresponde à vos paramètres enregistrés.
Ce projet était une exploration intéressante de la façon dont un défaut de conception dans une application peut permettre à une variété d'autres bugs, sans rapport, de devenir plus dangereux. Il s'agissait également d'un excellent exemple de la façon dont, même lorsque macOS Gatekeeper est activé, un attaquant peut encore réaliser de nombreux méfaits en incitant des applications approuvées à faire des choses malveillantes.
J'ai soumis ces bogues à Apple à la mi-juillet 2021. Ils ont corrigé tous les problèmes au début de l'année 2022 et m'ont offert une prime de 100 500 dollars.
L'étudiant explique en détail sur son site internet comment il a réussi à accéder à la caméra d'un utilisateur Safari 15 et comment il a pu hacker des comptes iCloud, Gmail, Facebook... On comprend rapidement que ce n'est pas à la portée de tout le monde !