El investigador de seguridad Vishal Bharad escribió sobre un error XSS almacenado que descubrió en iCloud. Después de revelarlo a Apple el 7 de agosto de 2020, recibió 5.000 dólares estadounidenses.
Error almacenado de iCloud XSS
XSS, o cross-site scripting, es un tipo de ataque en el que se pueden inyectar scripts maliciosos en un sitio web, como cargar un formulario web con código malicioso. XSS almacenado significa que el código es persistente y puede usarse para atacar a los visitantes del sitio web.
La falla de iCloud se encontró dentro de las aplicaciones Pages y Keynote. Un atacante podría desencadenar la falla creando contenido nuevo con cualquiera de estas aplicaciones usando código XSS. Luego, podría guardarse y compartirse con otro usuario de iCloud. El atacante tendría que cambiar el contenido, guardarlo nuevamente y visitar Configuración> Buscar todas las versiones. Esto luego activaría el código.
Bharad creó un video de prueba de concepto para demostrar cómo podría funcionar.