Frans Rosen, um pesquisador de segurança da Detectify, revelou hoje ter sido o culpado por trás da quebra no compartilhamento de atalhos por links do iCloud, que aconteceu no início deste ano. Mas calma: tudo isso foi puro acidente!
Em uma publicação, o caçador de bugs disse que estava examinando a segurança dos serviços da Apple, em especial o CloudKit. Como muitos dos apps da Maçã armazenam informações em bancos de dados dessa API1, ele estava curioso para saber se algum dado específico poderia ser modificado obtendo acesso a contêineres públicos.
Investigando as permissões, ele encontrou várias vulnerabilidades relacionadas ao iCrowd+, ao Apple News e ao app Atalhos. No entanto, acidentalmente, Rosen conseguiu excluir uma zona padrão sem as permissões adequadas devido a uma configuração incorreta da Apple — quebrando, assim, todos os links dos atalhos existentes.
O pesquisador disse ter procurado o time de segurança da Apple na mesma hora, que lhe aconselhou parar as suas pesquisas. A equipe, então, trabalhou para resolver o problema, restaurando os atalhos e corrigindo a vulnerabilidade — removendo as opções de excluir ou criar zonas públicas.
Segundo Rosen, as falhas não permitiram que ele tivesse acesso a nenhuma informação privada ou de usuários. Ele, portanto, foi premiado com uma recompensa de US$28 mil pela descoberta. E que descoberta, não acham? 😅
via AppleInsider