Apple के webcam bug खोजकर $100,000 का इनाम पाने की कहानी

<p>- iCloud Sharing और Safari 15 का उपयोग करके, कैमरा और उपयोगकर्ता जिन सभी वेबसाइटों पर जाते हैं उनकी जानकारी तक पहुँच संभव करने वाली एक भेद्यता <br /> - 4 zero-day bugs खोजकर रिपोर्ट किए और $100,500 का इनाम मिला <br /> - इन bugs को 2022 की शुरुआत में पूरी तरह patch कर दिया गया, इसलिए उनसे जुड़ी जानकारी विस्तार से लिखकर सार्वजनिक की गई <br /> <br /> Universal Cross-Site Scripting (UXSS) bug <br /> - ब्राउज़र की भेद्यता का उपयोग करके XSS condition हासिल की गई और सभी sites तक पहुँच संभव हो गई <br /> <br /> - iCloud file डाउनलोड करके चलाने वाला ShareBear app, एक बार file डाउनलोड और execute करने के बाद दोबारा नहीं पूछता—इसका फायदा उठाया गया <br /> - एक बार image डाउनलोड कर permission हासिल करने के बाद, executable binary डाउनलोड कराई गई ताकि attack code वाला Webarchive खोला जा सके <br /> - इस web archive को सीधे खोलने पर Gatekeeper रोकता है, इसलिए Windows URL file बनाकर link कराया गया और इसे भी bypass किया गया<br /> - URL file के अंदर लिखे जाने वाले वास्तविक hard disk path को जानना ज़रूरी था, लेकिन वह जानना कठिन था, इसलिए पहले DMG file mount की गई </p>