Appleは、iCloudのセキュリティ上の欠陥を発見したことに対して、賞金5,000ドルを支払いました

セキュリティ上の欠陥は、iCloud.comのXSSファイルに保存されています、これにより、攻撃者は新PagesまたはKeynoteのドキュメントを作成して悪意のあるコードを埋め込むことができます

この脆弱性はXSSクラスに属し、通常はターゲットサーバにペイロードを展開するために使用され、一度展開されると、クッキーやブラウザー・データなどの個人情報を盗むために使われます

Bharad氏は、iCloudドメイン上のPageとKeynoteの脆弱性を発見しました

ありがたいことに、このバグをトリガーするのは簡単ではなく、それがバウンティの少なさを説明しています。この脆弱性は、名前フィールドにXSSペイロードを挿入した新しいPagesやKeynoteを作成することで発動することができます

さらに、その文書を複数のユーザーと共有することも可能です。ただし、攻撃者は悪意のあるコンテンツに複数の変更を加える必要があります

Appleは2019年にBug Bountyプログラムを一般公開しました、賞金は5,000ドルから250,000ドルまでとなっています

最近では、インドのウェブ開発者が「Sign in with Apple」機能のバグを発見したことで10万ドルを獲得しました

昨年、セキュリティ研究者のグループが数ヶ月間Appleをハッキングし、犠牲者のiCloudアカウントを乗っ取る可能性のあるいくつかのバグを発見しました

(Via ZDNet.)