Selon The Hacker News, en 2018, il pourrait y avoir une fuite de données, au cours de laquelle les informations des utilisateurs du service iCloud ont été divulguées. Cependant, Apple n'a pas officiellement annoncé de tels problèmes.
Quel est le problème
Un chercheur turc en sécurité de l'information, Melih Sevim, a contacté des journalistes. Il a déclaré qu'il était en mesure de détecter une vulnérabilité dans iCloud, ce qui lui permettait de visualiser certaines données des comptes d'autres personnes dans le service - par exemple, des notes dans les comptes. Le chercheur a pu accéder à la fois aux données de comptes aléatoires et divulguer volontairement des informations d'utilisateurs spécifiques - pour cela, il avait besoin de connaître le numéro de téléphone associé au service.
Selon Melikh, il a découvert un bogue en octobre 2018 et déjà en novembre, dans le cadre d'une politique de divulgation responsable, l'a signalé à Apple, joint des instructions pour reproduire l'erreur et une démonstration vidéo de l'utilisation de la vulnérabilité.
Des représentants d'Apple ont également déclaré en novembre 2018 au chercheur que l'erreur avait été corrigée, mais ont déclaré que la société l'avait découverte avant son message. Après cela, le ticket a été immédiatement fermé.
Selon le chercheur, la vulnérabilité possible est due à la connexion du numéro de téléphone stocké dans les informations de paiement de votre compte Apple ID avec votre compte iCloud. Une telle connexion s'est produite lors de l'utilisation du service sur l'appareil avec le numéro correspondant.
Certaines manipulations du chercheur lui ont permis d'enregistrer le numéro associé à un autre compte dans iCloud, puis d'accéder partiellement aux données de ce compte.
"Supposons que le numéro de mobile du compte abc@icloud.com soit 12345. Si j'entre le numéro de mobile 12345 dans mon identifiant Apple, qui est enregistré à xyz@icloud.com, je peux voir certaines informations de compte abc dans xyz."
Selon le chercheur, au cours des expériences, il a pu accéder aux notes des utilisateurs d'iCloud, dans lesquelles de nombreuses informations importantes étaient stockées - y compris les informations comptables des comptes bancaires.
Étant donné que la vulnérabilité était contenue dans la zone des paramètres iCloud pour les appareils iOS, Apple a pu la corriger en arrière-plan via Internet. Il n'était pas nécessaire de publier une mise à jour iOS distincte pour cela.
Réaction d'Apple
Melikh a fourni une correspondance aux journalistes, au cours de laquelle les employés d'Apple Security Team ont confirmé le problème et signalé qu'il avait déjà été corrigé.
Dans une réponse à une lettre de The Hacker News, Apple a également confirmé la vulnérabilité et a déclaré qu'elle a été «corrigée en novembre 2018», ignorant les questions sur la durée de la vulnérabilité dans le système, le nombre approximatif d'utilisateurs dont les données ont été divulguées, et existe-t-il des preuves de son exploitation par des pirates?
Cette semaine également, un bug dans FaceTime a été découvert, qui permet à l'appelant d'accéder au microphone et à la caméra d'autres personnes, même si elles n'ont pas répondu à l'appel. Les développeurs ont été contraints de désactiver Group FaceTime pour protéger les utilisateurs.
Plus tard, il est devenu connu que la mère de l'adolescent qui a découvert la vulnérabilité a
tenté d' avertir Apple une semaine avant d'en être informée. Personne n'a répondu à ses messages sur les réseaux sociaux et au rapport de bug.
Les chercheurs de Positive Technologies ont également découvert des vulnérabilités dans les produits Apple. Ainsi, à l'été 2018, la société a
publié une mise à
jour pour macOS High Sierra 10.13.4, qui élimine la vulnérabilité dans le micrologiciel des ordinateurs personnels (CVE-2018-4251), découverte par Maxim Goryachy et Mark Ermolov. La vulnérabilité a permis d'exploiter une erreur dangereuse dans le sous-système Intel Management Engine.