Bug CloudKit : comment un chercheur en sécurité a accidentellement cassé les raccourcis Apple

Un chercheur en sĂ©curitĂ© a rĂ©vĂ©lĂ© dans un article qu’il avait accidentellement supprimĂ© les raccourcis Apple plus tĂ´t cette annĂ©e. Essayant de creuser un peu plus lorsqu’il a trouvĂ© un bogue CloudKit, il a involontairement supprimĂ© les raccourcis et l’a cassĂ©. Tous les bogues ont Ă©tĂ© signalĂ©s depuis lors et ont Ă©tĂ© corrigĂ©s.

Apple CloudKit Bug Hunt mène à une série de failles de sécurité

Le chasseur de primes aux bogues Frans RosĂ©n et co-fondateur de la sociĂ©tĂ© de sĂ©curitĂ© Detectify a rĂ©vĂ©lĂ© dans un message qu’il avait accidentellement supprimĂ© les liens de partage de raccourcis alors qu’il cherchait des erreurs de configuration dans le système CloudKit d’Apple, a rapportĂ© Apple Insider.

CloudKit est la propre technologie d’Apple pour la base de donnĂ©es de leurs applications, similaire Ă  Firebase de Google, a expliquĂ© Detectify. Il existe des conteneurs dans CloudKit qui empĂŞchent diffĂ©rentes applications de s’affecter mĂŞme si elles “vivent” sur la mĂŞme plate-forme. Le système d’organisation garantit que les donnĂ©es ne s’emmĂŞlent pas avec d’autres applications, et il existe des zones et des bases de donnĂ©es spĂ©cialisĂ©es pour sĂ©parer facilement les informations des applications par type d’accès ou fonction, a dĂ©clarĂ© PC Mag.

RosĂ©n a commencĂ© sa chasse aux failles de sĂ©curitĂ© dans le framework CloudKit Ă  la mi-fĂ©vrier et a commencĂ© Ă  bricoler les conteneurs et l’accès aux Ă©tendues privĂ©es, partagĂ©es et publiques. Il s’est vite rendu compte que les diffĂ©rents flux d’authentification et rĂ´les de sĂ©curitĂ© Ă©taient plutĂ´t complexes. Il s’est demandĂ© si les Ă©quipes internes d’Apple trouvaient cela Ă©galement difficile et si cela laissait une lacune dans leur système.

Après trois jours de recherche de bogues, il a trouvĂ© le moyen d’accĂ©der Ă  iCrowd+ en manipulant les conteneurs. Il s’est rendu compte qu’il pouvait modifier les donnĂ©es du site.

Il a rapidement signalĂ© le problème Ă  Apple le 17 fĂ©vrier. Apple a rĂ©solu le problème le 25 fĂ©vrier, supprimant l’utilisation de CloudKit du site Web et scellant les autorisations.

Après avoir rĂ©alisĂ© qu’il pourrait y avoir plus de bogues liĂ©s aux autorisations dans la portĂ©e publique, RosĂ©n a dĂ©cidĂ© de vĂ©rifier les autres applications.

En procĂ©dant Ă  la vĂ©rification de l’application Apple News et après deux jours passĂ©s Ă  comprendre comment modifier les autorisations, il a supprimĂ© toute chaĂ®ne ou article avec quelques modifications dans le conteneur. La mauvaise configuration a Ă©tĂ© signalĂ©e Ă  Apple le 17 mars et, le 19 mars, Apple a corrigĂ© les autorisations pour refuser l’accès Ă  toute personne qui tenterait de supprimer une chaĂ®ne ou un article Ă  l’avenir.

Lire aussi : Les fuites de l’iPhone 14 rĂ©vèlent un nouveau design, un châssis en titane ! [Release Date, Specs, Rumors]

CloudKit Bug arrête complètement les raccourcis

Les raccourcis Ă©taient une autre application Apple qui utilisait la portĂ©e publique de ClouKit, a dĂ©clarĂ© RosĂ©n. L’application permettait aux utilisateurs de partager des raccourcis avec d’autres personnes Ă  l’aide de liens iCloud.

BientĂ´t, il a compris qu’il pouvait modifier et mĂŞme supprimer les raccourcis des autres utilisateurs, ce qui n’est pas une bonne chose. Tout en fouinant, il a Ă©galement testĂ© les zones par dĂ©faut. Il a pu ajouter de nouvelles zones et, dans une tentative de suppression de son propre conteneur Ă  l’aide d’un autre utilisateur, il a dĂ©couvert qu’il n’Ă©tait pas possible de supprimer la zone par dĂ©faut d’un conteneur. RosĂ©n a essayĂ© d’autres mĂ©thodes juste pour voir si cela fonctionnerait, et malheureusement, cela a fonctionnĂ©.

Tous les raccourcis partagĂ©s ont disparu mĂŞme si la zone par dĂ©faut n’a jamais disparu.

C’est ainsi que, le 23 mars, les utilisateurs ont constatĂ© que leurs liens vers un raccourci public ne fonctionnaient pas. RosĂ©n, pris de panique, a Ă©crit Ă  Apple Security, reconnaissant Ă  la fois la gravitĂ© de la situation et expliquant les mesures qu’il avait prises pour Ă©viter toute interruption de service. Après un e-mail plutĂ´t court demandant poliment Ă  RosĂ©n d’arrĂŞter ses tests, Apple s’est mis Ă  rĂ©gler le problème. Malheureusement, les utilisateurs de Twitter ont rapidement exprimĂ© leurs problèmes avec le problème des raccourcis.

Le problème a été résolu après deux jours, a déclaré PC Mag.

En raison de la dĂ©couverte des bogues, le programme Apple Security Bounty a attribuĂ© Ă  l’entreprise 12 000 $ pour la dĂ©couverte du bogue iCrowd+, 24 000 $ pour le bogue Apple News et 28 000 $ pour la dĂ©couverte du problème des raccourcis, soit un total de 64 000 $ pour l’ensemble de l’Ă©preuve. .

Article connexe : iPhones, iPads en danger de logiciels espions Pegasus : TĂ©lĂ©chargez le correctif d’urgence d’Apple pour rĂ©soudre les risques de sĂ©curitĂ©