El hack de la cámara del iPhone valió 75.000 dólares al investigador que la descubrió

💿 ¡Oferta especial de Pascua! ¡Windows 11 por solo 13,45€ y Office 2021 Pro por 25,25€! [ Saber más ]

Apple ha pagado recientemente a un investigador de seguridad una recompensa de 75.000 dólares tras descubrir algunas vulnerabilidades de día cero que podrían haber permitido a un atacante acceder a la cámara del iPhone o MacBook de un usuario.

En diciembre de 2019, un ex ingeniero de seguridad de Amazon llamado Ryan Pickren decidió poner a prueba la máxima de que «la caza de bugs consiste en encontrar supuestos en el software y violar esos supuestos para ver qué pasa».

TE INTERESA:
Apple ofrece 1 millón de dólares a quien informe sobre un fallo de seguridad grave del iPhone

Pickren optó por profundizar en la seguridad de Safari para iOS y macOS hasta descubrir un comportamiento extraño, y se enfocó en el sistema de seguridad de la cámara, que admite que era «bastante intenso».

Apple bloquea la cámara del iPhone y requiere el permiso explícito de los usuarios cada vez que una aplicación de terceros quiere acceder a ella. Pickren, sin embargo, descubrió que el permiso explícito para acceder a la cámara no es necesario cuando la solicitud viene directamente de otra aplicación de Apple.

Pickren se puso a trabajar y comenzó a buscar vulnerabilidades en Safari para iOS que le permitieran acceder a la cámara del iPhone. Al final, Pickren encontró no una, sino siete vulnerabilidades de día cero en la versión móvil de Safari. A partir de ahí, Pickren logró encadenar tres de ellas y acceder a la cámara del iPhone.

Las vulnerabilidades implicaban engañar a un usuario para que visitara un sitio web malicioso. Ese sitio web podía acceder directamente a la cámara siempre que el usuario hubiera confiado antes en un sitio web de videoconferencia como Zoom, por ejemplo.

«Un error como éste demuestra por qué los usuarios nunca deben sentirse totalmente seguros de que su cámara es segura», dijo Pickren, «independientemente del sistema operativo o del fabricante».

Pickren informó a Apple sobre sus hallazgos a finales del año pasado, y el fallo de seguridad fue finalmente solucionado a finales de enero con una actualización de Safari. A diferencia de Google y Microsoft, Apple lleva poco tiempo recompensando a los investigadores de seguridad ya que instituyó su primer programa de recompensas por fallos en agosto de 2016.

El pago que Apple ofrece por los fallos varía según la gravedad y el tipo de aplicación. Por ejemplo, Apple paga 100.000 dólares por un error que implique saltarse la pantalla de bloqueo. Esa cifra aumenta a 250.000 dólares por un ataque capaz de extraer los datos del usuario. El mayor pago que tiene Apple es de 1.000.000 de dólares, un premio reservado para cualquiera que pueda implementar un ataque de red avanzado sin interacción del usuario.

💿 ¡Oferta especial de Pascua! ¡Windows 11 por solo 13,45€ y Office 2021 Pro por 25,25€! [ Saber más ]

¿Cuál es tu reacción?
Sorprendido
0%
Feliz
18%
Indiferente
0%
Triste
0%
Enfadado
0%
Aburrido
18%
Incrédulo
0%
¡Buen trabajo!
64%
Sobre el Autor
Luis A.
Luis es el creador y editor jefe de Teknófilo. Se aficionó a la tecnología con un Commodore 64 e hizo sus pinitos programando gracias a los míticos libros de 🛒 'BASIC para niños' con 11 años. Con el paso de los años, la afición a los ordenadores se ha extendido a cualquier cacharrito que tenga una pantalla y CPU.
Comentarios
Deja un comentario

Deja un comentario