C'est un chercheur en sécurité qui a cassé le partage Raccourcis de mars dernier
La grosse panne de partage que l'app Raccourcis a subie au mois de mars, rapidement corrigée par Apple, a pour origine les bidouilles d'un chercheur en sécurité ! Frans Rosen, un chasseur de vulnérabilités qui travaille pour Detectify, a révélé aujourd'hui qu'il était à l'origine du bug. En cause : la base de données CloudKit.
Au début de l'année, ce chercheur s'est mis en tête de fouiller dans CloudKit, la solution mise au point par Apple pour stocker les données des développeurs dans son nuage (lire à ce propos À la découverte de Core Data et CloudKit, la gestion native des données dans les apps). Il s'agissait pour Rosen d'examiner si les services dans le cloud d'Apple sont bien sécurisés.
Plus précisément, il voulait savoir si les données de telle ou telle application pouvaient être modifiées en ayant accès à leur container CloudKit public. Il a ainsi trouvé des failles dans Apple News, iCrowd+ (un outil d'amélioration de Siri) et Raccourcis. En raison d'une mauvaise configuration des permissions par Apple, il a voulu supprimer une zone dans l'espace CloudKit de Raccourcis… ce qui a supprimé ses liens de partage de ses raccourcis, mais aussi ceux de tous les utilisateurs de l'application !
Bien sûr, il a immédiatement prévenu l'équipe en charge de la sécurité logicielle chez Apple, qui lui a demandé d'arrêter immédiatement ses tests le temps de régler le bug, ce qui fut fait rapidement (non sans quelques frayeurs au passage pour les utilisateurs). Pour éviter les problèmes à l'avenir, le constructeur a supprimé les possibilités de supprimer ou de créer des zones publiques dans CloudKit.
Quant à Rosen, il a été récompensé pour ses trouvailles par le biais du programme de chasse aux bugs, pour un total de 64 000 $ en tout. Et parce que tout ne fonctionne pas si mal dans l'équipe sécurité d'Apple, Frans Rosen salue l'aide et le professionnalisme de ses interlocuteurs dans toute cette aventure.
Raccourcis : Apple va réparer les liens de partage cassés 🆕
Quel joli conte… manque quelques princesses et sorcières quand même
@Sindanárië
C'est claire, Apple c'est le monde de oui-oui
C'est Claire... la princesse? Ou la sorcière? 🤔
@r e m y
« Mais oui c’est clair » (Eddie Malou) 😅
👍les mecs jamais contents 🤡🤡🤡
Quelle est la formation des chercheurs en sécurité ? Ça semble terriblement pointu !
@powergeek
Un master de chercheur d’aiguille(s) dans les bottes de foin.
@Chris K |
Ca c'est pour les noob qui veulent se la péter... Les vrais, ils ont un master de chercheurs d'aiguilles dans une botte d'aiguilles (autrement plus difficile et pointu)
Moi, chacune de mes aiguilles est équipée d'un AirTag ... on ne me la fera pas!
(Par contre c'est un peu chiant pour recoudre un bouton ou un ourlet ☹️ )
@r e m y
« Moi, chacune de mes aiguilles est équipée d'un AirTag ... on ne me la fera pas! »
Tailleur pour éléphant ?
@debione
En tout cas pour faire ce métier faut être aimant.
@powergeek
Généralement ? Aucune. C'est des gens en informatique qui sont vraiment passionné et qui aime bidouiller. Beaucoup sont autodidacte
ah mince, c'est incroyable :D
le gars hack le machin, fout tout en l'air et du coup on le remercie et on le récompense. Apres c'est sur qu'il a démontré que ca fonctionnait :)
(et puis il a trouvé plus que les failles dans raccourcis)
C'est le principe de serendipité. Il cherchait une faille et en a trouvé une autre (qu'un tiers pouvait tout péter), à l´insu de son plein gré 🥴
@r e m y
"(qu'un tiers pouvait tout péter)"
mais il A tout peté ! :D hahahah
plus sérieusement il a mérité son prix hein? enfin de mon point de vue, il a meme démontré que ca fonctionnait.
@raoolito
Ca me fait penser au gars qui a démontré les failles de la carte bleue et qui pouvait retirer autant d’argent qu’il voulait aux distributeurs de billets. Il expose sa solution et démontre le problème.
Résultat, lui, il se fait poursuivre.
Apple où des banques, pas le même combat.