Эксперт, обнаруживший ошибку в iCloud, получил премию от Apple
В своём блоге программист Вишал Бхарад опубликовал пост, в котором заявил о том, что намерен отыскать баги на сайте Apple icloud.com. Аналитик, собиравшийся вычислить фальшивые межсайтовые запросы, зашёл несколько дальше и наткнулся на ошибки XSS. Обнаруженный баг присутствовал в Keynote и Apple Pages, нарушая общую систему безопасности iCloud.
Ошибка могла быть использована мошенниками в целях распространения вредоносного ПО. Преступнику всего лишь требовалось поделиться ссылкой на сомнительный файл с любым пользователем и убедить потенциальную жертву просмотреть все версии присланного документа. Таким образом, пользователь чуть ли не собственноручно отдавал хакеру доступ к своему ПО.
Бхарад предупредил Apple об ошибке августе 2020 года, а в октябре компания выплатила ему премию в размере 5000 долларов за подробные сведение о баге и схеме проведения возможной хакерской атаки.