A história de como encontrei um bug de webcam da Apple e recebi uma recompensa de US$ 100 mil

<p>- Vulnerabilidade que, usando iCloud Sharing e Safari 15, permitia acesso à câmera e às informações de todos os sites visitados pelo usuário <br /> - Foram encontrados e reportados 4 bugs 0-day, rendendo uma recompensa de US$ 100.500 <br /> - Todos esses bugs foram corrigidos no início de 2022, então os detalhes relacionados foram publicados de forma abrangente <br /> <br /> Bug de Universal Cross-Site Scripting (UXSS) <br /> - Explorando uma vulnerabilidade do navegador, era possível atingir a condição de XSS e obter acesso a todos os sites <br /> <br /> - Aproveitou-se o fato de que o app ShareBear, que baixa e executa arquivos do iCloud, não perguntava novamente depois de baixar e executar um arquivo uma vez <br /> - Após baixar uma imagem uma vez e obter permissão, fazia-se o download de um binário executável para abrir um Webarchive contendo código malicioso <br /> - Como o Gatekeeper bloqueava a abertura direta desse web archive, isso também foi contornado criando um arquivo de URL do Windows para fazer o link <br /> - Era necessário saber o endereço real no disco rígido a ser escrito dentro do arquivo de URL, mas como isso era difícil de descobrir, primeiro montava-se um arquivo DMG </p>