Frans Rosen, um pesquisador de segurança da Detectify, revelou hoje ter sido o culpado por trás da quebra no compartilhamento de atalhos por links do iCloud, que aconteceu no início deste ano. Mas calma: tudo isso foi puro acidente!
Em uma publicação, o caçador de bugs disse que estava examinando a segurança dos serviços da Apple, em especial o CloudKit. Como muitos dos apps da Maçã armazenam informações em bancos de dados dessa API1Application programming interface, ou interface de programação de aplicações., ele estava curioso para saber se algum dado específico poderia ser modificado obtendo acesso a contêineres públicos.
Investigando as permissões, ele encontrou várias vulnerabilidades relacionadas ao iCrowd+, ao Apple News e ao app Atalhos. No entanto, acidentalmente, Rosen conseguiu excluir uma zona padrão sem as permissões adequadas devido a uma configuração incorreta da Apple — quebrando, assim, todos os links dos atalhos existentes.
O pesquisador disse ter procurado o time de segurança da Apple na mesma hora, que lhe aconselhou parar as suas pesquisas. A equipe, então, trabalhou para resolver o problema, restaurando os atalhos e corrigindo a vulnerabilidade — removendo as opções de excluir ou criar zonas públicas.
Segundo Rosen, as falhas não permitiram que ele tivesse acesso a nenhuma informação privada ou de usuários. Ele, portanto, foi premiado com uma recompensa de US$28 mil pela descoberta. E que descoberta, não acham? 😅
via AppleInsider
Notas de rodapé
- 1Application programming interface, ou interface de programação de aplicações.