Dit is hoe een cybersecurity-onderzoeker per ongeluk Apple Shortcuts heeft verbroken

Een Detectify-onderzoeker heeft uitgelegd hoe een onderzoek naar Apple CloudKit heeft geleid tot de onbedoelde uitvaltijd van de Shortcuts-functionaliteit voor gebruikers.

In maart begonnen Apple-gebruikers foutmeldingen te melden wanneer ze probeerden gedeelde snelkoppelingen te openen. Zoals opgemerkt door 9to5Mac, baarde dit bizarre probleem vooral zorgen bij makers van inhoud die snelkoppelingen deelden met hun volgers via iCloud, die plotseling ontdekten dat hun links waren verbroken.

De rapporten begonnen op 24 maart aan de oppervlakte te komen en een dag later kwamen de iPad- en iPhone-maker vertelde MacStories hoofdredacteur Federico Viticci dat het bedrijf “werkte om eerder gedeelde snelkoppelingen zo snel mogelijk te herstellen.”

Volgens Detectify Knowledge Advisor en bug bounty hunter Frans Rosén, was de hoofdoorzaak van het probleem een ​​fout in de configuratie die hij per ongeluk tegenkwam – en veroorzaakte – in Apple CloudKit.

Op maandag publiceerde Rosén details over de situatie, waarin hij de veiligheid van Apple-services onderzocht. De verkenning van Rosén begon in februari en hij wilde met name het CloudKit-framework onderzoeken, een platform voor het maken van containers die geschikt zijn voor gegevensopslag in het Apple-ecosysteem.

Rosén zegt dat hij merkte dat veel van Apple’s eigen applicaties informatie opsloegen in databases op basis van CloudKit en daarom was hij “nieuwsgierig” of de gegevens van specifieke apps konden worden gewijzigd door toegang te krijgen tot hun openbare CloudKit-containers.

De onderzoeker ontdekte dat er verschillende API’s werden gebruikt om verbinding te maken met CloudKit. Volgens Rosén zijn er drie scopes in de containers: Private (informatie is alleen toegankelijk voor jou), Shared (deelbaar tussen gebruikers) en Public (toegankelijk voor iedereen). Er worden ook zones ingesteld met verschillende machtigingsniveaus.

Rosén begon deze machtigingen te testen en ontdekte verschillende kwetsbaarheden in CloudKit met betrekking tot iCrowd+, Apple News en Shortcuts, waardoor hij kon knoeien met inhoud, inclusief voorraadinvoer.

Het meest prominente en openbare probleem, dat in maart in Shortcuts werd gevonden, “zorgde ervoor dat alle koppelingen voor het delen van Shortcuts werden verbroken, en het werd snel opgemerkt door Apple-gebruikers, mediaverslaggevers en vooral fans van Shortcuts”, aldus Detectify.

Volgens Rosén had hij eerder verschillende manieren getest om openbare zones te verwijderen en werd toestemming altijd geweigerd – in de Shortcuts CloudKit-database was de onderzoeker echter verrassend in staat om zones te creëren en kreeg hij ook een “OK”-bericht in een poging om een standaardzone verwijderen.

Dit werd veroorzaakt door een verkeerde configuratie van Apple.

“Ze waren allemaal weg”, zei de onderzoeker. “Ik realiseerde me nu dat het verwijderen op de een of andere manier werkte, maar dat de _defaultZone nooit is verdwenen. Toen ik probeerde een nieuwe snelkoppeling te delen, werkte het ook niet, althans niet om mee te beginnen, hoogstwaarschijnlijk omdat de recordtypen ook werden verwijderd.”

Op dit punt nam Rosén contact op met het beveiligingsteam van Apple, dat hem vroeg om onmiddellijk te stoppen met testen. Apple Security ging vervolgens aan de slag om het probleem op te lossen, de functionaliteit van snelkoppelingen te herstellen en het probleem te patchen door de beveiligingscontroles te verfijnen en de opties voor zowel het maken van nieuwe als het verwijderen van bestaande openbare zones te verwijderen.

Opgemerkt moet worden dat de breuk de onderzoeker geen toegang gaf tot gebruikers- of gevoelige gegevens.

Hoewel het per ongeluk was en niet alleen paniek veroorzaakte voor de onderzoeker, maar ook onbedoelde downtime voor gebruikers, ontving Rosén een bugbounty van $ 28.000 voor zijn ontdekking via het Apple Security Bounty-programma.

“CloudKit benaderen voor bugs bleek erg leuk, een beetje eng, en een heel goed voorbeeld van wat een echte diepe duik in één technologie kan opleveren bij het jagen op bugs,” merkte Rosén op. “Het Apple Security-team was ongelooflijk behulpzaam en professioneel tijdens het rapporteren van deze problemen.”

De kwetsbaarheden in iCrowd+ en Apple News leverden hem ook premies op van $ 12.000 en $ 24.000.

“We willen deze onderzoeker bedanken voor het samenwerken met ons om onze gebruikers en hun gegevens veilig te houden”, vertelde een woordvoerder van Apple aan ZDNet. “Hij rapporteerde onmiddellijk zijn acties, zodat we de gedocumenteerde problemen snel konden oplossen en de functionaliteit konden herstellen nadat de onderzoeker onbedoeld de mogelijkheid had verstoord om iCloud-koppelingen voor snelkoppelingen te gebruiken.”

Vorige en gerelateerde dekking


Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of hoger bij Keybase: charlie0



Posted By : keluaran sidney hari ini