Apple est accusée d'avoir ignoré trois vulnérabilités de type "0-day" et d'avoir évité les collectes de bugs.



À l'instar de nombreuses grandes entreprises technologiques, dont Microsoft et Google, Apple a mis en place un programme de primes aux bugs qui permet de verser des sommes importantes en cas de découverte de failles de sécurité. Les frais pour les rapports confirmés de problèmes vont de 25 000 dollars pour un contrôle non autorisé "limité" d'un compte iCloud, à un million de dollars pour une chaîne à distance de zéro-clic avec un accès complet au noyau sans nécessiter d'interaction de l'utilisateur. Bien sûr, les entreprises font preuve de bonne volonté en tenant leurs promesses de paiement dans le cadre de ces programmes. Cependant, lorsqu'un chercheur se sent ignoré, cela peut briser la confiance dans le programme et laisser des vulnérabilités non corrigées et exposées.







Dans un récent article du Washington Post, plusieurs chercheurs en sécurité ont partagé leurs propres histoires frustrantes concernant le programme de primes d'Apple. Les plaintes vont de soumissions ignorées à des primes non payées pour des vulnérabilités qui ont finalement été corrigées. Il s'agit évidemment d'une mauvaise image pour Apple, une entreprise qui prétend avoir à cœur la sécurité et la vie privée de ses utilisateurs, mais qui se poignarde dans le dos avec de mauvais plans tels que l'analyse de toutes les photos iCloud ou la tentative de diagnostic automatique des troubles de la santé mentale.



À la suite de l'article, d'autres chercheurs en sécurité ont présenté leur propre série de plaintes. Comme dans l'article, les accusations vont du fait d'ignorer les soumissions au fait de ne pas payer pour le travail effectué sur les bugs corrigés par Apple. La plus crédible de ces accusations provient d'un chercheur nommé Denis Tokarev, qui a posté sous le pseudonyme illusionofchaos. Dans un billet de blog détaillé, Tokarev décrit en détail des vulnérabilités de type "zero-day" dans trois services d'Apple, signalées pour la première fois en avril 2021, et dont la plupart ne sont toujours pas corrigées dans la version d'iOS 15 récemment publiée.



En premier lieu, il y a un problème : Apple semble avoir inclus des données médicales et de temps d'écran dans les appels au service XPC com.apple.analyticsd. La commande de vidage du journal du service fournissait ce que l'on ne peut que décrire comme un excès d'informations à toute application qui en faisait la demande. Ce problème a apparemment été corrigé dans la version 14.7 d'iOS publiée fin juillet, mais M. Tokarev affirme dans son blog qu'il l'a signalé pour la première fois le 29 avril. Apple a apparemment ignoré ses demandes et n'a jamais mentionné le problème dans les notes de sécurité des mises à jour d'iOS depuis lors. Il semble qu'Apple n'ait pas l'intention de payer Tokarev pour sa découverte.







Le deuxième problème se trouve dans le service XPC com.apple.gamed qui fait partie du Game Center d'Apple, dans lequel le service ne s'assure pas que l'application qui l'appelle déclare un droit Game Center. Dans le processus de développement normal, une application qui tente d'accéder à quelque chose dont elle n'a pas demandé l'autorisation au préalable (comme les contacts, l'appareil photo et l'envoi de notifications push) se termine par une exception. En revanche, le service XPC renvoie des objets qui pointent vers des données auxquelles il ne devrait pas avoir accès, comme les contacts et la liste d'amis du Game Center. Il est trivial d'analyser un binaire iOS pour voir s'il contient une logique d'accès au Game Center sans droit, il est donc possible qu'une application qui exploite cela ne passe pas l'examen, mais il semble que c'est quelque chose qu'Apple pourrait corriger rapidement et qu'elle n'a pas fait.



Enfin, deux vulnérabilités différentes existent dans le service XPC com.apple.nehelper, mais il n'est pas clair s'il s'agit vraiment de menaces de sécurité. La première semble relativement mineure, dans la mesure où n'importe quelle application peut accéder à une méthode qui prend un identifiant de paquet d'applications et renvoie des données indiquant si l'application est installée. Les applications iOS sont censées interagir avec d'autres applications via le schéma URL de l'autre application, mais en réalité, cela semble relativement mineur. Plus flagrant est le fait que com.apple.nehelper accepte une chaîne fournie par l'application pour savoir quelle version du SDK iOS a été utilisée pour la construire, plutôt que de regarder le manifeste. Cela pourrait permettre d'ignorer les vérifications des droits et, finalement, de récupérer des informations sur le réseau Wi-Fi qu'il ne devrait pas. Il n'est pas clair si la clé WPA2 du réseau est incluse dans les données renvoyées, il est donc possible que cela n'expose pas l'utilisateur à des problèmes, mais encore une fois, cela semble être une correction triviale.



Tokarev a mis à jour son post ce matin pour dire qu'Apple a finalement répondu. La société lui a dit qu'elle "continue d'enquêter sur ces problèmes et sur la façon dont nous pouvons les résoudre pour protéger les clients". Compte tenu du nombre de chercheurs qui se sont heurtés à des obstacles similaires ces derniers temps, il semble qu'Apple ait les mains pleines avec iOS qui est plein de trous ou qu'elle traîne simplement les pieds pour payer les primes qu'elle a promises.



HOTHARDWARE