Эксперт, обнаруживший ошибку в iCloud, получил премию от Apple

В своём блоге программист Вишал Бхарад опубликовал пост, в котором заявил о том, что намерен отыскать баги на сайте Apple icloud.com. Аналитик, собиравшийся вычислить фальшивые межсайтовые запросы, зашёл несколько дальше и наткнулся на ошибки XSS. Обнаруженный баг присутствовал в Keynote и Apple Pages, нарушая общую систему безопасности iCloud.

Ошибка могла быть использована мошенниками в целях распространения вредоносного ПО. Преступнику всего лишь требовалось поделиться ссылкой на сомнительный файл с любым пользователем и убедить потенциальную жертву просмотреть все версии присланного документа. Таким образом, пользователь чуть ли не собственноручно отдавал хакеру доступ к своему ПО.

Бхарад предупредил Apple об ошибке августе 2020 года, а в октябре компания выплатила ему премию в размере 5000 долларов за подробные сведение о баге и схеме проведения возможной хакерской атаки.