Un chercheur en sécurité accuse Apple d’ignorer plusieurs vulnérabilités zero-day d’iOS 15

Apple a remanié son programme de primes de sécurité en 2019 en le rendant ouvert à tous, en augmentant les paiements, etc. Cependant, le programme a fait l’objet de nombreuses critiques de la part de la communauté infosec. Maintenant, un autre chercheur en sécurité a partagé son expérience en affirmant qu’Apple ne leur a pas accordé de crédit pour une faille zero-day qu’ils ont signalée qui a été corrigée et qu’il y a trois autres vulnérabilités zero-day dans iOS 15.

Le chercheur en sécurité illusionofchaos a partagé son expérience dans un article de blog, y compris l’affirmation selon laquelle Apple a connaissance et ignore trois vulnérabilités zero-day depuis mars et qu’elles sont dans iOS 15.

Je souhaite partager mon expérience frustrante de participation au programme Apple Security Bounty. J’ai signalé quatre vulnérabilités 0-day cette année entre le 10 mars et le 4 mai, à ce jour, trois d’entre elles sont toujours présentes dans la dernière version iOS (15.0) et une a été corrigée dans 14.7, mais Apple a décidé de la couvrir et pas le lister sur la page de contenu de sécurité. Lorsque je les ai confrontés, ils se sont excusés, m’ont assuré que cela était dû à un problème de traitement et ont promis de le répertorier sur la page de contenu de sécurité de la prochaine mise à jour. Il y a eu trois sorties depuis lors et ils ont rompu leur promesse à chaque fois.

illusionofchaos dit qu’ils ont de nouveau demandé à Apple une explication, y compris qu’ils rendraient leurs recherches publiques – conformément aux directives de divulgation responsable – et Apple n’a pas répondu.

Il y a dix jours, j’ai demandé une explication et j’ai prévenu que je rendrais mes recherches publiques si je ne reçois pas d’explication. Ma demande a été ignorée donc je fais ce que j’ai dit que je ferais. Mes actions sont conformes aux directives de divulgation responsable (Google Project Zero divulgue les vulnérabilités dans les 90 jours après les avoir signalées au fournisseur, ZDI – dans 120). J’ai attendu beaucoup plus longtemps, jusqu’à six mois dans un cas.

illusionofchaos a partagé des détails sur les trois autres vulnérabilités zero-day qu’ils ont trouvées, notamment « Gamed 0-day », « Nehelper Enumerate Installed Apps 0-day » et « Nehelper Wifi Info 0-day », y compris le code source de la preuve de concept.

Voici un aperçu de chacun :

Joué 0-jour

Toute application installée à partir de l’App Store peut accéder aux données suivantes sans aucune invite de l’utilisateur :

Adresse e-mail d’identifiant Apple et nom complet qui lui est associé Jeton d’authentification d’identifiant Apple qui permet d’accéder à au moins un des points de terminaison sur *.apple.com au nom de l’utilisateur Accès complet en lecture au système de fichiers à la base de données Core Duet (contient une liste de contacts à partir de Mail, SMS, iMessage, d’applications de messagerie tierces et de métadonnées sur toutes les interactions de l’utilisateur avec ces contacts (y compris les horodatages et les statistiques), ainsi que certaines pièces jointes (comme les URL et les textes) Accès complet en lecture au système de fichiers à la base de données de numérotation rapide et à l’adresse Base de données de livres comprenant des photos de contact et d’autres métadonnées comme les dates de création et de modification (je viens de vérifier sur iOS 15 et celui-ci inaccessible, donc il a dû être corrigé tranquillement récemment)

Nehelper Énumérer les applications installées 0 jour

La vulnérabilité permet à toute application installée par l’utilisateur de déterminer si une application est installée sur l’appareil en fonction de son ID de bundle.

Nehelper Wifi Info 0-day

Le point de terminaison XPC com.apple.nehelper accepte le paramètre sdk-version fourni par l’utilisateur, et si sa valeur est inférieure ou égale à 524288, la vérification com.apple.developer.networking.wifi-infoentiltlement est ignorée. Cela permet à toute application éligible (par exemple, possédant une autorisation d’accès à la localisation) d’accéder aux informations Wifi sans le droit requis. Cela se passe dans -[NEHelperWiFiInfoManager checkIfEntitled:] dans /usr/libexec/nehelper.

Deux points de vue

En prenant du recul pour regarder la situation dans son ensemble, Apple a déclaré que son programme de primes aux bogues était un « succès fulgurant », tandis que la communauté infosec a partagé une variété de critiques et de préoccupations spécifiques au sujet du programme. Il s’agit notamment des allégations selon lesquelles Apple n’a pas répondu ou n’a pas répondu rapidement et également qu’Apple n’a pas payé pour les défauts découverts qui répondent aux directives des programmes de primes.

Notamment, plus tôt ce mois-ci, nous avons appris qu’Apple avait embauché un nouveau leader pour son programme de primes de sécurité dans le but de le « réformer ».

FTC : Nous utilisons des liens d’affiliation automatique qui génèrent des revenus. Suite.

Découvrez . sur YouTube pour plus d’actualités Apple :

Share