Aggiungere un’enorme somma al proprio conto in banca scovando e segnalando un bug. In sintesi, è ciò che è successo a Ryan Pickren, che grazie al programma di bug bounty di Apple ha guadagnato poco più di 100mila dollari. Una grande vittoria per lui, ma anche per gli utenti. Ecco perché.
Pickren è uno studente di cybersicurezza e ha mostrato all’azienda di Cupertino come hackerare le webcam dei Mac e come spalancare le porte dei dispositivi ai malintenzionati. Un’ottima segnalazione, “premiata” con un bonifico di ben 100,500 dollari. È probabilmente la cifra più alta erogata da Apple per il suo Bug Bounty Program (il premio massimo è di 1 milione di dollari).
Stando a quanto si legge su AppleInsider, la vulnerabilità scoperta da Pickren sfruttava problemi di Safari e iCloud ora risolti da Apple. Ma prima della patch, tutti gli utenti Mac erano potenzialmente a rischio. Nel suo dettagliato post Pickren spiega come gli hacker avrebbero potuto accedere agli account web, come iCloud e PayPal, ai microfoni e alle webcam dei Mac.
Un attacco del genere, fosse andato a segno con successo, avrebbe concesso l’accesso a tutti i filesystem del dispositivo. Una situazione possibile grazie al sistema (webarchive) che Safari utilizza per memorizzare copie locali dei siti web e che un hacker più abile potrebbe facilmente violare.
Apple non ha rilasciato commenti a riguardo, e non sappiamo se il bug sia stato sfruttato da qualche hacker in passato.