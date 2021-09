En 2019, Apple a ouvert son programme Security Bounty au public, offrant des paiements allant jusqu’à 1 million de dollars aux chercheurs qui partagent des vulnérabilités critiques de sécurité iOS, iPadOS, macOS, tvOS ou watchOS avec Apple, y compris les techniques utilisées pour les exploiter. Le programme est conçu pour aider Apple à garder ses plates-formes logicielles aussi sûres que possible.



Depuis lors, des rapports ont fait surface indiquant que certains chercheurs en sécurité ne sont pas satisfaits du programme, et maintenant un chercheur en sécurité qui utilise le pseudonyme « illusionofchaos » a partagé sa même « expérience frustrante ».

Dans un article de blog mis en évidence par Kosta Eleftheriou, le chercheur en sécurité anonyme a déclaré avoir signalé quatre vulnérabilités zero-day à Apple entre mars et mai de cette année, mais il a déclaré que trois des vulnérabilités étaient toujours présentes dans iOS 15 et que celle-ci avait été corrigée. dans iOS 14.7 sans qu’Apple leur accorde de crédit.

Je souhaite partager mon expérience frustrante de participation au programme Apple Security Bounty. J’ai signalé quatre vulnérabilités 0-day cette année entre le 10 mars et le 4 mai, à ce jour, trois d’entre elles sont toujours présentes dans la dernière version iOS (15.0) et une a été corrigée dans 14.7, mais Apple a décidé de la couvrir et pas le lister sur la page de contenu de sécurité. Lorsque je les ai confrontés, ils se sont excusés, m’ont assuré que cela était dû à un problème de traitement et ont promis de le répertorier sur la page de contenu de sécurité de la prochaine mise à jour. Il y a eu trois sorties depuis lors et ils ont rompu leur promesse à chaque fois.

La personne a déclaré que, la semaine dernière, elle avait averti Apple qu’elle rendrait ses recherches publiques si elle ne recevait pas de réponse. Cependant, ils ont déclaré qu’Apple avait ignoré la demande, les conduisant à divulguer publiquement les vulnérabilités.

L’une des vulnérabilités zero-day concerne Game Center et permettrait à toute application installée depuis l’App Store d’accéder à certaines données utilisateur :

– E-mail d’identifiant Apple et nom complet qui lui est associé

– Jeton d’authentification Apple ID qui permet d’accéder à au moins un des points de terminaison sur *.apple.com au nom de l’utilisateur

– Accès complet en lecture au système de fichiers à la base de données Core Duet (contient une liste de contacts de Mail, SMS, iMessage, des applications de messagerie tierces et des métadonnées sur toutes les interactions de l’utilisateur avec ces contacts (y compris les horodatages et les statistiques), ainsi que certaines pièces jointes (comme URL et textes)

– Accès complet en lecture au système de fichiers à la base de données Speed ​​Dial et à la base de données du carnet d’adresses, y compris les photos de contacts et d’autres métadonnées comme les dates de création et de modification )