Ouvrir le menu principal

MacGeneration

Recherche

C'est un chercheur en sécurité qui a cassé le partage Raccourcis de mars dernier

Mickaël Bazoge

mardi 14 septembre 2021 à 09:00 • 16

Logiciels

La grosse panne de partage que l'app Raccourcis a subie au mois de mars, rapidement corrigée par Apple, a pour origine les bidouilles d'un chercheur en sécurité ! Frans Rosen, un chasseur de vulnérabilités qui travaille pour Detectify, a révélé aujourd'hui qu'il était à l'origine du bug. En cause : la base de données CloudKit.

Au début de l'année, ce chercheur s'est mis en tête de fouiller dans CloudKit, la solution mise au point par Apple pour stocker les données des développeurs dans son nuage (lire à ce propos À la découverte de Core Data et CloudKit, la gestion native des données dans les apps). Il s'agissait pour Rosen d'examiner si les services dans le cloud d'Apple sont bien sécurisés.

Plus précisément, il voulait savoir si les données de telle ou telle application pouvaient être modifiées en ayant accès à leur container CloudKit public. Il a ainsi trouvé des failles dans Apple News, iCrowd+ (un outil d'amélioration de Siri) et Raccourcis. En raison d'une mauvaise configuration des permissions par Apple, il a voulu supprimer une zone dans l'espace CloudKit de Raccourcis… ce qui a supprimé ses liens de partage de ses raccourcis, mais aussi ceux de tous les utilisateurs de l'application !

Bien sûr, il a immédiatement prévenu l'équipe en charge de la sécurité logicielle chez Apple, qui lui a demandé d'arrêter immédiatement ses tests le temps de régler le bug, ce qui fut fait rapidement (non sans quelques frayeurs au passage pour les utilisateurs). Pour éviter les problèmes à l'avenir, le constructeur a supprimé les possibilités de supprimer ou de créer des zones publiques dans CloudKit.

Quant à Rosen, il a été récompensé pour ses trouvailles par le biais du programme de chasse aux bugs, pour un total de 64 000 $ en tout. Et parce que tout ne fonctionne pas si mal dans l'équipe sécurité d'Apple, Frans Rosen salue l'aide et le professionnalisme de ses interlocuteurs dans toute cette aventure.

Raccourcis : Apple va réparer les liens de partage cassés 🆕

Raccourcis : Apple va réparer les liens de partage cassés 🆕

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Résultats Apple : l'iPad et le Mac à la fête, l'iPhone en difficulté

30/01/2025 à 23:10

• 15


Le Pentagone bloque l’accès à DeepSeek à ses employés, après avoir constaté de nombreux accès au chatbot

30/01/2025 à 21:45

• 4


Payer son ticket avec sa carte bancaire dans les transports parisiens, ce n’est pas pour demain

30/01/2025 à 21:29

• 56


Le fondateur de TSMC explique pourquoi Apple a abandonné Intel

30/01/2025 à 15:01

• 22


Meta accepte de payer 25 millions de dollars à Donald Trump pour avoir banni ses comptes en 2021

30/01/2025 à 12:17

• 95


Promo générale sur les Apple Watch SE et Series 10 aluminium et titane

30/01/2025 à 09:19

• 9


Promo sur des Apple Pencil, Magic Mouse et Magic Keyboard

30/01/2025 à 07:50

• 2


Aperty : l'allié parfait des photographes de portraits professionnels et semi-professionnels est là 📍

29/01/2025 à 23:33


Des actionnaires mettent en doute la vertu d’Apple concernant les données d’entraînement de son IA

29/01/2025 à 21:30

• 16


Comment faire tourner DeepSeek-R1 (ou un autre LLM) sur votre Mac

29/01/2025 à 17:23

• 14


Promo : le Mac mini M2 Pro 16/512 Go à 770 € 🆕

29/01/2025 à 17:00

• 20


Promo : la console portable ROG Ally d’Asus à seulement 470 €

29/01/2025 à 16:30

• 16


OpenAI affirme que DeepSeek a siphonné ses données pour entrainer ses modèles

29/01/2025 à 15:30

• 110


Deux failles des dernières puces Apple Silicon permettent d’extraire des données de Safari et Chrome à distance

29/01/2025 à 11:00

• 45


Office pour Mac colle ses premiers widgets sur le bureau

29/01/2025 à 10:21

• 23


Coup d’œil sur le nouveau cadran « Unité en rythme » de watchOS 11.3

29/01/2025 à 09:17

• 25