Ouvrir le menu principal

MacGeneration

Recherche

C'est un chercheur en sécurité qui a cassé le partage Raccourcis de mars dernier

Mickaël Bazoge

Tuesday 14 September 2021 à 09:00 • 16

Logiciels

La grosse panne de partage que l'app Raccourcis a subie au mois de mars, rapidement corrigée par Apple, a pour origine les bidouilles d'un chercheur en sécurité ! Frans Rosen, un chasseur de vulnérabilités qui travaille pour Detectify, a révélé aujourd'hui qu'il était à l'origine du bug. En cause : la base de données CloudKit.

Au début de l'année, ce chercheur s'est mis en tête de fouiller dans CloudKit, la solution mise au point par Apple pour stocker les données des développeurs dans son nuage (lire à ce propos À la découverte de Core Data et CloudKit, la gestion native des données dans les apps). Il s'agissait pour Rosen d'examiner si les services dans le cloud d'Apple sont bien sécurisés.

Plus précisément, il voulait savoir si les données de telle ou telle application pouvaient être modifiées en ayant accès à leur container CloudKit public. Il a ainsi trouvé des failles dans Apple News, iCrowd+ (un outil d'amélioration de Siri) et Raccourcis. En raison d'une mauvaise configuration des permissions par Apple, il a voulu supprimer une zone dans l'espace CloudKit de Raccourcis… ce qui a supprimé ses liens de partage de ses raccourcis, mais aussi ceux de tous les utilisateurs de l'application !

Bien sûr, il a immédiatement prévenu l'équipe en charge de la sécurité logicielle chez Apple, qui lui a demandé d'arrêter immédiatement ses tests le temps de régler le bug, ce qui fut fait rapidement (non sans quelques frayeurs au passage pour les utilisateurs). Pour éviter les problèmes à l'avenir, le constructeur a supprimé les possibilités de supprimer ou de créer des zones publiques dans CloudKit.

Quant à Rosen, il a été récompensé pour ses trouvailles par le biais du programme de chasse aux bugs, pour un total de 64 000 $ en tout. Et parce que tout ne fonctionne pas si mal dans l'équipe sécurité d'Apple, Frans Rosen salue l'aide et le professionnalisme de ses interlocuteurs dans toute cette aventure.

Raccourcis : Apple va réparer les liens de partage cassés 🆕

Raccourcis : Apple va réparer les liens de partage cassés 🆕

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

DFU Blaster Pro enchaîne les restaurations macOS plus facilement

03/10/2024 à 22:45

• 0


Quel forfait pour avoir de la 5G avec beaucoup de DATA sans trop dépenser

03/10/2024 à 20:33


Un rare Macintosh à lecteur de disquettes 5″1/4 est mis aux enchères

03/10/2024 à 18:00

• 1


Apple peaufine ses brevets pour un MacBook sans clavier physique

03/10/2024 à 14:40

• 21


Orange et Bouygues vont bientôt améliorer leurs offres fibre

03/10/2024 à 11:07

• 21


Homebrew 4.4 gère officiellement macOS Sequoia

03/10/2024 à 08:00

• 4


Incogni est à - 50 %, foncez sur cet excellent service de suppression de vos données en ligne 📍

02/10/2024 à 23:13


OpenAI conclut sa levée de fonds avec 6,6 milliards de dollars

02/10/2024 à 21:31

• 43


Test du nouveau chargeur MagSafe 25 W : Apple accélère bien la recharge sans fil des iPhone 16

02/10/2024 à 20:31


Au Vietnam, les sous-traitants d’Apple obligés de sortir l’artillerie lourde pour recruter

02/10/2024 à 18:00

• 23


Bon plan : - 10 % sur de puissants MacBook Pro M3 Pro et M3 Max

02/10/2024 à 16:32

• 5


Switch : après Yuzu, Nintendo fait fermer l’émulateur Ryujinx

02/10/2024 à 14:30

• 53


iMac M1 : un problème de lignes horizontales entache certains écrans

02/10/2024 à 13:30

• 71


Office 2024 : la suite bureautique sans abonnement de Microsoft est disponible pour 149 €

02/10/2024 à 12:00

• 57


Photoshop et Premiere Elements 2025 appuient sur la retouche par IA

02/10/2024 à 08:10

• 13


Test de l'Apple Watch Series 10 : ce n’est pas l’Apple Watch X, mais ce n’est pas grave

01/10/2024 à 21:27