Voici pourquoi les liens pour les raccourcis Apple ont éclaté en mars

Le 23 mars, chaque lien vers un raccourci public, l’outil d’automatisation étonnamment performant d’Apple, s’est soudainement rompu.(Ouvre dans une nouvelle fenêtre). Il a fallu deux jours à Apple pour résoudre le problème, mais la société a offert aux utilisateurs de raccourcis peu d’informations précieuses sur la cause du problème. Maintenant, nous le savons : le co-fondateur de Detectify, Frans Rosén, a accidentellement supprimé les raccourcis.

Rosen dit(Ouvre dans une nouvelle fenêtre) il a commencé à rechercher des failles de sécurité dans le framework CloudKit d’Apple à la mi-février. Il a découvert plusieurs vulnérabilités qui lui permettaient de modifier les informations stockées dans les bases de données iCloud et de « supprimer toute chaîne ou article, y compris les entrées de stock, dans le conteneur com.apple.news.public utilisé pour les applications iOS Stock et Apple News ».

Ces vulnérabilités ont été rapidement divulguées à Apple, qui les a corrigées en quelques jours, selon Rosén, qui a alors commencé à rechercher des problèmes similaires affectant les raccourcis. Rosén a pu interagir avec la base de données des raccourcis, mais il ne semblait pas y avoir de failles critiques à exploiter. Jusqu’à ce qu’il fasse une dernière tentative le 23 mars et rompe les raccourcis dans le processus.

Arrêtons-nous un instant. D’abord une explication des Raccourcis(Ouvre dans une nouvelle fenêtre): Ce sont en fait des programmes créés à l’aide d’actions fournies par iOS, iPadOS et bientôt macOS ainsi que des applications tierces. Les raccourcis sont souvent simples, mais il est également possible de créer des programmes étonnamment complexes, et de nombreuses personnes aiment partager leurs créations via des liens iCloud publics.

Similaire  Vidéo Mobile Mensuel #17 - Septembre 2021

Rosén a rompu ces liens. Les gens pouvaient toujours utiliser leurs raccourcis, mais ils ne pouvaient les partager avec personne d’autre. Cela peut ne pas sembler être un problème urgent, mais certaines publications et communautés ont consacré d’innombrables heures à la création de raccourcis, et leur disparition soudaine a fait craindre à certains qu’Apple n’empêche de les partager publiquement.

Une autre explication rapide : CloudKit utilise des conteneurs pour empêcher différentes applications qui s’appuient sur la plate-forme de s’affecter les unes les autres. Apple dit(Ouvre dans une nouvelle fenêtre) qu' »en organisant les applications dans des conteneurs, CloudKit garantit que chaque application est cloisonnée afin que ses données ne soient pas enchevêtrées avec d’autres applications. Les bases de données et les zones spécialisées vous permettent également de séparer facilement les informations d’application par type d’accès ou fonction ».

La vulnérabilité trouvée par Rosén lui a permis de créer et de supprimer des zones dans des conteneurs qu’il ne possédait pas. Il a déclaré avoir trouvé 30 autres conteneurs appartenant à Apple qui lui permettaient de créer des zones, mais après ce qui s’est passé avec la base de données Shortcuts, il a choisi de ne pas expérimenter. Au lieu de cela, il a envoyé un e-mail à l’équipe de sécurité d’Apple neuf minutes après avoir rompu les raccourcis pour expliquer le problème.

Similaire  Comment enregistrer des appels sur votre téléphone Android

Rosén dit qu’Apple a répondu le lendemain matin avec ce message : « Merci pour l’information. Veuillez arrêter les tests sur ces terminaux jusqu’à ce que nous vous revenions avec les prochaines étapes de validation. » (Et, tout bien considéré, « arrêtez s’il vous plaît » est la meilleure réponse possible à quelqu’un qui casse accidentellement une fonctionnalité destinée à l’utilisateur qu’il a fallu plusieurs jours pour réparer.)

Recommandé par nos rédacteurs

Tout va bien qui finit bien, cependant, et Rosén dit qu’Apple lui a accordé un total combiné de 64 000 $ pour les bogues mentionnés dans son article de blog dans le cadre du programme Apple Security Bounty. Il a été payé, Apple a appris certains problèmes dans ses services cloud, et maintenant les utilisateurs de raccourcis savent enfin ce qui s’est passé plus tôt cette année.

Dans un communiqué, Apple a déclaré : « Nous tenons à remercier ce chercheur de travailler à nos côtés pour assurer la sécurité de nos utilisateurs et de leurs données. Il a immédiatement signalé ses actions afin que nous puissions résoudre rapidement les problèmes documentés et restaurer les fonctionnalités après que le chercheur ait accidentellement interrompu la possibilité d’utiliser les liens de partage iCloud pour les raccourcis.

Note de l’éditeur: Cette histoire a été mise à jour avec les commentaires d’Apple.

Similaire  Apple retarde la prise en charge des identifiants gouvernementaux dans iOS 15
Fan de pomme ?

Inscrivez-vous à notre Brief hebdomadaire sur la pomme pour les dernières nouvelles, critiques, conseils et plus directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d’affiliation. L’abonnement à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.