High Tech

Trois jours iOS 0 révélés par un chercheur frustré par

Le chercheur pseudonyme illusionofchaos rejoint une légion croissante de chercheurs en sécurité frustrés par la lenteur de la réponse d'Apple et son adhésion incohérente aux politiques en matière de failles de sécurité.
Agrandir / Le chercheur pseudonyme illusionofchaos rejoint une légion croissante de chercheurs en sécurité frustrés par la lenteur de la réponse d’Apple et son adhésion incohérente aux politiques en matière de failles de sécurité.

Aurich Lawson | Getty Images

Hier, un chercheur en sécurité qui passe illusionofchaos chuté avis public de trois vulnérabilités zero-day dans le système d’exploitation mobile iOS d’Apple. Les divulgations de vulnérabilités sont mêlées à la frustration du chercheur vis-à-vis des Prime de sécurité programme, qui illusionofchaos dit avoir choisi de dissimuler un bogue signalé précédemment sans leur en donner le crédit.

Ce chercheur n’est en aucun cas le premier à exprimer publiquement son frustration avec Apple sur son programme de primes de sécurité.

Beau bug—maintenant chut

illusionofchaos dit qu’ils ont signalé quatre vulnérabilités de sécurité iOS cette année – les trois jours zéro qu’ils ont divulgués publiquement hier plus un bogue antérieur qu’ils disent qu’Apple a corrigé dans iOS 14.7. Il semble que leur frustration vienne en grande partie de la façon dont Apple a géré ce premier bogue désormais corrigé dans analyticsd.

Cette vulnérabilité désormais corrigée permettait à des applications arbitraires installées par l’utilisateur d’accéder aux données d’analyse d’iOS, ce qui peut être trouvé dans Settings --> Privacy --> Analytics & Improvements --> Analytics Data— sans aucune autorisation accordée par l’utilisateur. illusionofchaos a trouvé cela particulièrement troublant, car ces données incluent des données médicales collectées par Apple Watch, telles que la fréquence cardiaque, un rythme cardiaque irrégulier, la détection de la fibrillation auriculaire, etc.

Les données analytiques étaient disponibles pour n’importe quelle application, même si l’utilisateur désactivait l’iOS Share Analytics réglage.

Selon illusionofchaos, ils ont envoyé à Apple le premier rapport détaillé de ce bogue le 29 avril. Bien qu’Apple ait répondu le lendemain, il n’a pas répondu à illusionofchaos à nouveau jusqu’au 3 juin, date à laquelle il a annoncé son intention de résoudre le problème dans iOS 14.7. Le 19 juillet, Apple a bien corrigé le bug avec iOS 14.7, mais le liste de contenu de sécurité pour iOS 14.7 n’a reconnu ni le chercheur ni la vulnérabilité.

Apple a dit illusionofchaos que son incapacité à divulguer la vulnérabilité et à les créditer n’était qu’un « problème de traitement » et qu’un avis approprié serait donné dans « une prochaine mise à jour ». La vulnérabilité et sa résolution n’étaient toujours pas reconnues à partir d’iOS 14.8 le 13 septembre ou d’iOS 15.0 le 20 septembre.

La frustration face à cet échec d’Apple à tenir ses propres promesses a conduit illusionofchaos menacer d’abord, puis abandonner publiquement les trois jours zéro de cette semaine. Dans illusionofchaos » Il y a dix jours, j’ai demandé une explication et j’ai averti que je rendrais mes recherches publiques si je ne reçois pas d’explication. Ma demande a été ignorée donc je fais ce que j’ai dit que je ferais. « 

Nous n’avons pas d’échéancier concret pour illusionofchaos‘ divulgation des trois zero-days, ou de la réponse d’Apple à ceux-ci, mais illusionofchaos affirme que les nouvelles divulgations respectent toujours les directives responsables : « Google Project Zero divulgue les vulnérabilités dans les 90 jours après les avoir signalées au fournisseur, ZDI – dans 120. J’ai attendu beaucoup plus longtemps, jusqu’à six mois dans un cas. »

Nouvelles vulnérabilités : Gamed, nehelper énumérer, nehelper Wi-Fi

Les jours zéro illusionofchaos abandonné hier peut être utilisé par les applications installées par l’utilisateur pour accéder à des données auxquelles ces applications ne devraient pas avoir ou n’ont pas été autorisées à accéder. Nous les avons répertoriés ci-dessous, ainsi que des liens vers illusionofchaos‘ Repos Github avec code de preuve de concept – par ordre (à notre avis) de leur gravité :

  • Joué zéro jour expose l’e-mail et le nom complet de l’identifiant Apple, des jetons d’authentification d’identifiant Apple exploitables et un accès en lecture aux bases de données Core Duet et Speed ​​Dial
  • Nehelper Wi-Fi zero-day expose les informations Wi-Fi aux applications qui n’ont pas reçu cet accès
  • Nehelper Enumerate zero-day expose des informations sur les applications installées sur l’appareil iOS

Le Gamed 0-day est évidemment le plus sévère, car il expose à la fois des informations personnelles identifiables (PII) et peut être utilisé dans certains cas pour pouvoir effectuer des actions à *.apple.com cela devrait normalement être déclenché par le système d’exploitation iOS lui-même ou par des interactions directes avec l’utilisateur.

L’accès en lecture de Gamed zero-day aux bases de données Core Duet et Speed ​​Dial est également particulièrement troublant, car cet accès peut être utilisé pour obtenir une image assez complète de l’ensemble des interactions de l’utilisateur avec les autres sur l’appareil iOS – qui est à leur contact liste, qui ils ont contacté (en utilisant à la fois des applications Apple et tierces) et quand, et dans certains cas même des pièces jointes à des messages individuels.

Le Wi-Fi zero-day est le suivant sur la liste, car un accès non autorisé aux informations Wi-Fi de l’appareil iOS peut être utilisé pour suivre l’utilisateur ou, éventuellement, apprendre les informations d’identification nécessaires pour accéder au réseau Wi-Fi de l’utilisateur. Le suivi est généralement une préoccupation plus sérieuse, car la proximité physique est généralement requise pour rendre les informations d’identification Wi-Fi elles-mêmes utiles.

Une chose intéressante à propos du Wi-Fi zero-day est la simplicité à la fois de la faille et de la méthode par laquelle elle peut être exploitée :  » XPC endpoint com.apple.nehelper accepte le paramètre sdk-version fourni par l’utilisateur, et si sa valeur est inférieure ou égale à 524288, com.apple.developer.networking.wifi-info entitlement la vérification est ignorée. » En d’autres termes, tout ce que vous avez à faire est de prétendre utiliser un ancien kit de développement de logiciel – et si c’est le cas, votre application ignore la vérification qui devrait indiquer si l’utilisateur a consenti à y accéder.

Le Nehelper Enumerate zero-day semble être le moins dommageable des trois. Il permet simplement à une application de vérifier si une autre application est installée sur l’appareil en interrogeant l’autre application. bundleID. Nous n’avons pas trouvé d’utilisation particulièrement effrayante de ce bogue en soi, mais une application malveillante hypothétique pourrait tirer parti d’un tel bogue pour déterminer si une application de sécurité ou antivirus est installée, puis utiliser ces informations pour adapter dynamiquement son propre comportement à mieux éviter la détection.

Conclusion

En supposant illusionofchaos » La description de leur calendrier de divulgation est correcte – qu’ils ont attendu plus de 30 jours, et dans un cas 180 jours, pour divulguer publiquement ces vulnérabilités – il est difficile de leur reprocher la baisse. Nous souhaitons qu’ils aient inclus des délais complets pour leur interaction avec Apple sur les quatre vulnérabilités, plutôt que seulement celle déjà corrigée.

Nous pouvons confirmer que cette frustration des chercheurs à l’égard des politiques de primes de sécurité d’Apple ne se limite en aucun cas à ce seul chercheur pseudonyme. Depuis qu’Ars a publié un pièce plus tôt ce mois-ci à propos de la réponse lente et incohérente d’Apple aux primes de sécurité, plusieurs chercheurs nous ont contactés en privé pour exprimer leur propre frustration. Dans certains cas, les chercheurs ont inclus des clips vidéo démontrant les exploits de bogues encore non corrigés.

Nous avons contacté Apple pour commentaires, mais nous n’avons pas encore reçu de réponse au moment de la publication. Nous mettrons à jour cette histoire avec toute réponse d’Apple au fur et à mesure de son arrivée.


Source link

Articles similaires

Bouton retour en haut de la page