Esta semana, un joven investigador de ciberseguridad demostró cómo hackear las cámaras web de dispositivos Mac para dejar los dispositivos completamente abiertos a otras variantes de ataque. Ryan Pickren presentó su informe a Apple a través de su programa de recompensas, ganando $100,500 USD por su reporte, la recompensa más grande que ha entregado la compañía.
El joven investigador menciona que la vulnerabilidad en las cámaras web existe debido a un conjunto de problemas en iCloud y Safari que los actores de amenazas podrían explotar para lanzar peligrosos ciberataques.
La explotación exitosa habría permitido a los hackers maliciosos acceder libremente a todas las cuentas en línea del usuario afectado, desde iCloud hasta PayPal, además de la capacidad de manipular el micrófono, cámara web y pantalla del dispositivo comprometido. Pickren mencionó que Apple ya ha abordado la falla.
En sus pruebas, el investigador explotó los archivos “webarchive” de Safari, el sistema que utiliza el navegador para guardar copias locales de sitios web: “Una característica sorprendente de estos archivos es que especifican el origen web en el que se debe representar el contenido. El hack permite que Safari reconstruya el contexto del sitio web guardado; si un atacante puede modificar este archivo de alguna manera, podría desplegar un ataque de scripts entre sitios universal (XSS)”, menciona.
Al inicio, Apple no consideraba que este error pudiera ser explotado, ya que los usuarios tendrían que descargar el webarchive y abrirlo, un mecanismo implementado desde hace más de una década, en una etapa temprana de Safari. No obstante, Apple ha debido abordar la falla después de que Pickren presentara su reporte, reconociendo el potencial de explotación.
Oficialmente, el programa de recompensas de Apple puede otorgar hasta $1 millón USD por los reportes sobre fallas más severas, clasificando estos errores según diversos criterios de la compañía. Los investigadores no están obligados a revelar públicamente cuánto dinero han recibido de Apple, aunque esta práctica se ha vuelto común en la comunidad de la ciberseguridad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
