Sans réponse de la part d'Apple plusieurs mois après leur avoir signalé l'existence de vulnérabilités dans iOS, un chercheur a décidé de publier des preuves de concept pour ces failles sur GitHub.
Il rejoint la longue liste de spécialistes en sécurité informatique dénonçant la gestion du programme de « bug bounty » d'Apple, ceux-ci ayant de plus en plus de mal à être crédités et payés par l'entreprise suite à la découverte de vulnérabilités.
Des applications pouvant accéder à des données confidentielles
En début d'année, Denis Tokarev, désormais connu sous le pseudonyme Illusion of Chaos sur Twitter, a trouvé quatre zero-day dans iOS. Apple ayant un programme de « bug bounty », c'est donc par lui qu'il est passé afin de les divulguer de façon responsable. Les quatre zero-day concernent les applications et les informations auxquelles elles ont la possibilité d'accéder :
- Gamed 0-day : une vulnérabilité permettant à n'importe quelle application installée depuis l'App Store d'accéder à des informations personnelles sur l'utilisateur ou utilisatrice, sans qu'il ou elle soit prévenu(e). Parmi ces informations, on retrouve l'email, le nom complet et le jeton d'authentification associés à un Apple ID. L'application peut également accéder aux listes de contact de l'utilisateur ou utilisatrice sur les applications natives mais aussi sur des applications tierces, ainsi qu'aux métadonnées et pièces jointes des messages envoyés. Cette vulnérabilité a été rapportée à Apple le 10 mars 2021.
- Nehelper Enumerate Installed Apps 0-day : permet à n'importe quelle application installée par un utilisateur ou une utilisatrice de déterminer si une autre application est installée sur le téléphone en renseignant son Bundle ID. Cette vulnérabilité a été rapportée à Apple le 4 mai 2021.
- Nehelper Wifi Info 0-day : permet à n'importe quelle application autorisée à accéder à la localisation d'accéder aux informations Wifi. Cette vulnérabilité a été rapportée à Apple le 2 mai 2021.
- Analysticsd : permet à n'importe quelle application installée par l'utilisateur ou utilisatrice d'accéder aux données d'analyse. Celles-ci peuvent contenir des données médicales, mais aussi des données sur le cycle menstruel, sur le sexe biologique, sur l'âge et sur l'activité sexuelle de l'utilisateur ou utilisatrice. Il s'y trouve également des informations concernant l'utilisation de l'appareil, sur le temps passé sur une application en fournissant son Bundle ID, sur les accessoires de l'appareil, sur les crashes d'applications et sur les langues des pages vues par l'utilisateur ou utilisatrice sur Safari. Toutes ces données sont récupérables même si « Partager l’analyse de l’iPhone » a été désactivé. Cette vulnérabilité a été rapportée à Apple le 29 avril 2021 et corrigée le 19 juillet, sans créditer Tokarev.
Voyant qu'il n'était pas crédité pour sa découverte lors du patch d'Analyticsd, le chercheur a demandé des explications à l'entreprise. Celle-ci lui a répondu que c'était une erreur de traitement et qu'il serait crédité lors d'un prochain avis de sécurité. Trois avis de sécurité ayant été publiés depuis, toujours sans crédit et sans réponse à ce sujet et au sujet des trois autres vulnérabilités, le chercheur a décidé de créer un compte Twitter et un post de blog afin de les rendre publiques.
Une frustration grandissante
Ce n'est pas le premier chercheur à faire part de sa frustration envers le programme de « bug bounty » d'Apple et à le faire savoir en rendant publiques des vulnérabilités. La semaine dernière, Jose Rodriguez a dévoilé un moyen de contourner le verrouillage de l'écran sur iOS 15, le jour de la sortie de la mise à jour. Le chercheur était frustré par la façon dont Apple avait traité sa découverte, en la minimisant, en le payant moins que ce qui était prévu par le programme et en sortant un fix qui n'en était pas un. Le Washington Post s'était par ailleurs emparé du sujet en début du mois, dans un article détaillant le mécontentement grandissant des chercheurs en sécurité et autres chasseurs de bugs envers la firme.
Quant à Tokarev, il a reçu une réponse d'Apple 24 heures après la publication de son post de blog. L'entreprise a notamment déclaré : « Nous sommes toujours en train d'enquêter sur ces problèmes et sur la façon dont nous pouvons les résoudre pour protéger nos clients. Encore merci d'avoir pris le temps de nous signaler ces problèmes, nous apprécions votre aide ». Une maigre consolation après des mois de silence.
Sources : The Register , Illusionofchaos, The Washington post, The Record