La Apple ha deciso di ricompensare uno studente geniale con una bella sommetta, precisamente 100mila dollari, o per essere ancora più precisi, 100.500.
Il fortunato e nel contempo geniale destinatario di tale ricco assegno è tale Ryan Pickren, studente di informatica che ha ricevuto la cifra dalla multinazionale di Cupertino, con la casuale Apple Security Bounty, programma con cui la Mela ricompensa chiunque trovi una falla nei propri sistemi, che siano applicazioni o prodotti hardware. Si tratta fino ad oggi della più alta ricompensa mai elargita dall’azienda americana, e questo perchè quanto scoperto da Ryan è altamente interessante.
STUDENTE SCOPRE FALLA NEL MAC: APPLE LO RICOMPENSA CON 100MILA DOLLARI
Nel dettaglio il ragazzo ha scoperto una falla presente nella gestione delle fotocamere frontali del Mac, i computer di casa Apple, e che consentiva, fra le altre cose, di fare grossi danni ai malintenzionati. Un hacker, bucando le barriere di protezione alle webcam Apple, avrebbe infatti potuto utilizzare il microfono e la telecamera, quindi spiare tramite schermo cosa stesse facendo il malcapitato, oltre che accedere a vari account estremamente personali, compresi PayPal e il cloud di Apple, leggasi iCloud. Dopo la segnalazione Pickren ha comunque fatto sapere che Cupertino si è subito abilitata per risolvere il problema e la falla è stata prontamente e opportunamente coperta. Il bug era stato segnalato dallo studente di informatica a metà luglio dell’anno scorso, 2021, dopo di che i programmatori si sono messi al lavoro per risolvere il problema, con la soluzione giunta negli scorsi giorni, a inizio 2022. Ma come doveva fare un hacker per intrufolarsi? Pickren ha spiegato che era necessario scaricare un file da una pagina corrotta e aprirlo.
Poi, via webcam, si raccoglievano informazioni di ogni tipo. Secondo lo stesso ragazzo, quando la Apple ha compilato i file webarchive di Safari, una decina di anni fa, uno scenario hacker di questo tipo era poco probabile. “Questa scelta ha quasi un decennio sulle spalle, quando gli standard di sicurezza del browser non erano certo quelli di oggi”, ha detto a riguardo. E ancora: “Una caratteristica sorprendente di questi file è che specificano l’origine web in cui il contenuto deve essere visualizzato. Questo è un trucco fantastico per consentire a Safari di ricostruire il contesto del sito Web salvato, ma come hanno sottolineato gli autori di Metasploit nel 2013, se un utente malintenzionato può in qualche modo modificare questo file, potrebbe effettivamente ottenere UXSS [universal cross-site scripting] da design”. Apple non ha effettuato commenti sulla questione, di conseguenza non è dato sapere se qualcuno ha sfruttato o meno la falla.