Foi através de uma vulnerabilidade na webcam do portátil que Ryan Pickren conseguiu abrir caminho para o sistema de um MacBook. O estudante de cibersegurança mostrou à Apple como esta falha de segurança permitiria a um hacker invadir o sistema de qualquer utilizador e a prova valeu-lhe 100.500 dólares da gigante de Cupertino.

Pickren não é um nome desconhecido para a Apple. Em 2020, o estudante identificou vulnerabilidades no iPhone e no Mac, também por via das respetivas câmaras. Desta vez, a falha era mais grave, uma vez que a vulnerabilidade viabilizava uma apropriação de todas as contas do utilizador, bem como do microfone, da câmara e da funcionalidade de partilha de ecrã. Importa sublinhar, no entanto, que no caso de haver um acesso remoto à câmara, a luz verde, que indica a sua atividade, continuaria a acender.

No pior dos casos, um hacker conseguiria aceder ao sistema de ficheiros do utilizador através do arquivo do Safari. “Uma das características destes ficheiros é que especificam a origem web onde os conteúdos devem ser renderizados”, explica Pickren. O estudante considera que a Apple não considerou este cenário como um caminho realista para hackar um computador da máquina, daí ter implementado o chamado webarchive neste formato. “É de salientar que esta decisão foi tomada há quase 10 anos, numa altura em que o modelo de segurança do browser não era tão robusto quanto é hoje”, remata.

A Apple não confirmou se falha em questão chegou a ser explorada para efeitos de ataque em cenários reais.

O programa de caça ao bug da tecnológica norte-americana prevê prémios de até 1 milhão de dólares, mas esta é a quantia mais elevada que alguma vez alguém reportou receber da marca. Note, contudo, que não é obrigatório comunicar prémios do género, pelo que é possível que a Apple tenha já pago mais de 100.500 dólares noutras ocasiões.

A Apple tem sido criticada por premiar muito abaixo dos valores máximos estabelecidos, bem como por demorar a corrigir os problemas identificados.