Apple dedica molta atenció al tema de seguretat. Per això, posa certes recompenses a disposició d'experts que trobin vulnerabilitats en els seus dispositius.

I així va ser el cas d'un estudiant de ciberseguretat que va aconseguir guanyar poc més de 100.000 dòlars per informar la companyia de la poma mossegada sobre un important i perillós error a la càmera web del sistema de macOS.

Ryan Pickren, qui ja ha reportat sobre altres errors a Apple, compta amb un lloc en el qual ha relatat diversos detalls sobre la seva nova descoberta que ha salvat els usuaris de Mac d'un atac molt perillós.

Risc de robatori d'informació a Mac

D'acord amb l'estudiant, l'exploit a la càmera web d'un Mac es produïa a causa de diversos problemes amb iCloud i els fitxers webarchive de Safari.

"Una característica sorprenent d'aquests arxius és que especifiquen l'origen web en què s'ha de renderitzar el contingut", escriu Pickren. "Aquest és un truc increïble per permetre que Safari reconstruïsca el context del lloc web guardat, però com van assenyalar els autors de Metasploit el 2013, si un atacant pot modificar d'alguna manera aquest arxiu, podria aconseguir efectivament UXSS [scripting universal entre llocs] per disseny".

La modificació d'aquest fitxer de Safari podria convertir-se en l'entrada per a un intrús. No obstant això, aquesta fallada només podria servir en cas que l'usuari pogués descarregar-lo i, a més, obrir-lo.

"Abans de Safari 13, ni tan sols es mostraven advertències a l'usuari abans que un lloc web descarregués fitxers arbitraris", va continuar. "Així que plantar el fitxer d'arxiu web va ser fàcil".

Un escenari realista, però incert en probabilitats que succeís, per la qual cosa Apple va implementar aquest fitxer en Safari sense preveure els riscos.

"Aquesta decisió es va prendre fa gairebé una dècada, quan el model de seguretat del navegador no estava tan madur com ho està avui dia" diu Ryan Pickren per argumentar la decisió d'Apple.

Ryan Pickren, estudiant de ciberseguretat troba fallada en càmera web dels Mac.

Apple i la seguretat en els seus dispositius

Pickren diu que la companyia ja ha solucionat aquest problema aparentment abans que algú més pogués utilitzar-lo amb objectius de ciberatac.

La fallada de la càmera web sumada a les vulnerabilitats que provocava en Safari i iCloud deixava que un intrús tingués accés a comptes provinents del web, des de contrasenyes fins a dades de PayPal, i òbviament el compte iCloud de l'usuari.

Per el moment, Apple no ha dit res sobre l'error o informat sobre afectats. Per la qual cosa, Pickren tindria raó d'estar segur que fins ara va ser un error no descobert i que ja ha estat eliminat.

L'estudiant ha estat mereixedor de 100.500 dòlars del programa de recompenses per errors d'Apple que arriba a atorgar fins a 1 milió de dòlars d'acord a la categoria en la qual es trobi la falla trobada.

En aquest aspecte, Apple és fortament criticada pel procés que porta per corroborar, pagar i solucionar els errors reportats, ja que es diu que arriba a pagar menys del que ha estipulat, a més que arriba a trigar a solucionar errors que hauria d'eliminar immediatament.

Així va succeir amb el recent cas d'un error d'iOS que bloqueja l'iPhone i que va ser reportat a la companyia des d'agost del 2021.

Però no tot és dolent, doncs quan la fallada és molt perillosa, Apple actua d'immmediat oferint solucions que ajudin a l'usuari, i així va ser recentment quan es va posar en contacte amb tots els afectats pel malware Pegasus.

Apple arriba a pagar fins a 1 milió de dòlars per reportar problemes de seguretat en els seus sistemes.

Per el que sembla Apple ha tingut una petita ratxa en la qual s'han desvelat alguns errors que han posat en perill la seguretat dels seus dispositius. Aquest error se suma al recent error de Safari que filtra informació sobre l'historial de navegació i dades sobre el compte Google de l'usuari.