Apple a payé une prime de bogue de 100 000 $ après qu’un étudiant en cybersécurité qui a réussi à détourner l’appareil photo de l’iPhone en 2019 ait fait de même avec l’appareil photo du Mac.
Ryan Pickren a utilisé une approche imaginative qui lui a permis d’exécuter du code arbitraire sur un Mac cible, et a reçu ce qu’il pense être la plus grande prime de bogue qu’Apple ait jamais payée…
Fond
Pickren est doctorant en cybersécurité au Georgia Institute of Technology. En 2019, il a découvert une série de vulnérabilités qu’il a exploitées pour lui permettre d’allumer une caméra et des microphones iPhone sans que l’utilisateur n’ait à accorder des autorisations de confidentialité.
Il a déclaré que la sécurité des caméras d’Apple était “assez intense”, mais il a réussi à enchaîner plusieurs exploits pour la vaincre. Il l’a signalé au fabricant d’iPhone, qui a corrigé les vulnérabilités et lui a versé une prime de bogue de 75 000 $.
Un nouvel exploit a piraté la webcam Mac
Non content de cela, Pickren s’est mis l’année dernière à voir s’il pouvait prendre le contrôle d’une webcam Mac, et y est parvenu. Le chemin qu’il a trouvé lui a permis de faire bien plus que cela, cependant !
Mon piratage a réussi à obtenir un accès non autorisé à la caméra en exploitant une série de problèmes avec iCloud Sharing et Safari 15. Bien que ce bogue oblige la victime à cliquer sur “ouvrir” sur une fenêtre contextuelle de mon site Web, il en résulte plus qu’un simple détournement d’autorisation multimédia. Cette fois, le bogue donne à l’attaquant un accès complet à tous les sites Web jamais visités par la victime. Cela signifie qu’en plus d’allumer votre appareil photo, mon bogue peut également pirater vos comptes iCloud, PayPal, Facebook, Gmail, etc.
Les détails sont quelque peu impliqués, mais l’une des clés pour le faire était une vulnérabilité dans une application de partage iCloud appelée ShareBear.
Si vous acceptez une invitation à partager un document avec quelqu’un, le Mac se souvient que vous avez accordé l’autorisation et ne vous demande pas si vous rouvrez le même fichier ultérieurement. Cependant, comme ce fichier est stocké à distance, le propriétaire peut le modifier après que vous y ayez accédé. Surtout, le fichier pourrait être changé en un type de fichier complètement différent – y compris un exécutable – et serait toujours ouvert en silence.
Cela a donné à Pickren la possibilité de transformer un fichier innocent comme un document ou une image Pages en un logiciel malveillant, que votre Mac exécuterait avec plaisir.
Il y avait bien plus que cela, comme vous pouvez le lire dans son parcours détaillé, mais l’approche de haut niveau était :
- Persuader un utilisateur d’ouvrir un document innocent partagé à distance
- Changez ensuite ce document en une image disque contenant des logiciels malveillants
- Tromper Safari en ouvrant l’image et en exécutant le logiciel malveillant
- Faites cela d’une manière qui ne déclenche pas Gatekeeper
Cela lui a permis de faire un grand nombre de choses, notamment d’activer la webcam et les microphones du Mac. Apple câble la LED témoin à la caméra, il n’est donc pas possible d’allumer la caméra sans allumer également la LED verte, mais cela peut facilement passer inaperçu si le Mac est juste assis dans un coin de la pièce à ce moment-là.
Apple paie une prime de bogue de 100 000 $
Pickren a déposé des rapports auprès d’Apple sur toutes les vulnérabilités exploitées, permettant à l’entreprise de les corriger.
Ce projet était une exploration intéressante de la façon dont un défaut de conception dans une application peut rendre une variété d’autres bogues, sans rapport, plus dangereux. C’était également un excellent exemple de la façon dont, même avec macOS Gatekeeper activé, un attaquant peut encore faire beaucoup de mal en incitant les applications approuvées à faire des choses malveillantes.
J’ai soumis ces bogues à Apple à la mi-juillet 2021. Ils ont corrigé tous les problèmes au début de 2022 et m’ont récompensé de 100 500 $ à titre de prime.
Le premier correctif était d’avoir ShareBear juste révéler fichiers au lieu de lancement eux (corrigé dans macOS Monterey 12.0.1 sans se voir attribuer de CVE).
Le deuxième correctif consistait à empêcher WebKit d’ouvrir les fichiers mis en quarantaine (corrigé dans Safari 15 en tant que CVE-2021-30861 ; voir l’implémentation du correctif ici).
Pickren estime qu’il s’agit de la somme la plus élevée jamais versée par l’entreprise dans le cadre de son programme de sécurité.
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Suite.
Découvrez 9to5Mac sur YouTube pour plus d’actualités Apple :
