เรื่องราวการพบบั๊กเว็บแคมของ Apple และได้รับเงินรางวัล 100,000 ดอลลาร์

<p>- ช่องโหว่ที่ใช้ iCloud Sharing และ Safari 15 เพื่อเข้าถึงกล้องและข้อมูลของทุกเว็บไซต์ที่ผู้ใช้เข้าเยี่ยมชมได้ <br /> - พบและรายงานบั๊ก 0-day จำนวน 4 ตัว และได้รับเงินรางวัล $100,500 <br /> - บั๊กดังกล่าวทั้งหมดถูกแพตช์ไปแล้วในช่วงต้นปี 2022 จึงเผยแพร่รายละเอียดเอาไว้อย่างละเอียด <br /> <br /> บั๊ก Universal Cross-Site Scripting (UXSS) <br /> - ใช้ช่องโหว่ของเบราว์เซอร์เพื่อทำให้เกิดเงื่อนไข XSS และเข้าถึงทุกเว็บไซต์ได้ <br /> <br /> - อาศัยจุดที่แอป ShareBear ซึ่งดาวน์โหลดและรันไฟล์ iCloud จะไม่ถามอีกหลังจากดาวน์โหลดและรันไฟล์ไปครั้งหนึ่งแล้ว <br /> - หลังจากดาวน์โหลดรูปภาพหนึ่งครั้งเพื่อให้ได้สิทธิ์แล้ว ก็ทำให้มันดาวน์โหลดไบนารีที่รันได้ และเปิด Webarchive ที่มีโค้ดโจมตีอยู่ภายใน <br /> - การเปิดเว็บอาร์ไคฟ์นี้ตรง ๆ จะถูก Gatekeeper บล็อก จึงหลบเลี่ยงด้วยการสร้างไฟล์ URL ของ Windows ให้ลิงก์ไปยังไฟล์นั้น <br /> - แต่จำเป็นต้องรู้พาธจริงบนฮาร์ดดิสก์ที่จะใส่ไว้ในไฟล์ URL ซึ่งรู้ได้ยาก จึงเมานต์ไฟล์ DMG ก่อน </p>