Un exploit dans CloudKit permet aux développeurs de supprimer des raccourcis

icloud drive iconeBien qu'Apple propose de nombreux outils aux développeurs, ces derniers n'hésitent pas à mettre les mains dans le cambouis pour tenter de dénicher des failles. Le dernier en date concerne Cloukit, framework de la Pomme intégré dans iOS et macOS, permettant d'intéragir avec les serveurs iCloud d'Apple.

 

Le développeur Frans Rosén, après plusieurs semaines de recherches, a réussi à utiliser la plateforme cloud d'Apple pour supprimer les raccourcis Siri publics et même le contenu d'autres apps Apple, comme Apple News.

cloudkit exploit

Un développeur trouve un exploit dans CloudKit

Rosén a commencé à chercher des exploits sur les plateformes d'Apple en février, en se penchant plus particulièrement sur le trafic autour de CloudKit. Il a ainsi découvert que le contenu public partagé dans iCloud peut être consulté par toute personne disposant de jetons (tokens) publics.

À force d'insister, ce dernier a tout simplement réussi à supprimer les liens vers tous les articles publics d'Apple News, mais également les liens publics vers les raccourcis Siri partagés par les utilisateurs. 

J'ai passé beaucoup trop de temps sur ce sujet, presque deux jours d'affilée, mais dès que j'ai trouvé des méthodes que je pouvais utiliser, la modification des enregistrements dans la portée Public nécessitait toujours une autorisation pour mon utilisateur, et je n'ai jamais été capable de comprendre comment générer un X-CloudKit-AuthToken pour la portée appropriée, puisque j'étais principalement intéressé par la portée Private.

L'approche de CloudKit pour les bugs s'est avérée très amusante, un peu effrayante, et un très bon exemple de ce qu'une véritable plongée en profondeur dans une technologie peut entraîner lors de la chasse aux bugs. L'équipe de sécurité d'Apple a été incroyablement utile et professionnelle tout au long du processus de signalement de ces problèmes.


Pour finir, le développeur a contacté l'équipe de sécurité d'Apple, qui a ensuite corrigé la faille de sécurité.

Source

Pour aller plus loin

Vous aimerez peut-être


Suivez-nous avec notre app iSoft
Donner votre avis
Si vous avez besoin d'aide sur un autre sujet, rendez-vous sur notre Forum iPhone.

 





Les réactions
Aucun commentaire pour le moment.
Bloqueur de publicité

iPhoneSoft finance la production de son contenu et ses serveurs grâce à une publicité modérée et non intrusive. Merci d'ajouter iPhoneSoft.fr en exception de votre bloqueur de publicité.