La chasse aux bugs peut rapporter gros. Ce n'est pas l'équipe de white hackers pilotée par le jeune (20 ans) Sam Curry qui dira le contraire en étant récompensé par Apple de 288 000 dollars pour avoir révélé l'existence de nombreuses failles. Du 6 juillet au 6 octobre 2020, cette équipe de chercheurs (Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes) en sécurité a participé à un bug bounty organisé par Apple. A cette occasion, l'existence de 55 vulnérabilités dont 11 critiques dans ses différents systèmes, services et solutions a été trouvée, et Apple prévenu dans la foulée. Avec à la clé des risques réels notamment en termes de vol d'e-mails personnels et de données cloud.
« Si les problèmes avaient été utilisés par un attaquant, Apple aurait été confronté à une divulgation massive d'informations et à une perte d'intégrité », a expliqué Sam Curry. « Par exemple, les attaquants auraient accès aux outils internes utilisés pour gérer les informations des utilisateurs et pourraient en outre modifier les systèmes pour qu'ils fonctionnent comme les pirates le souhaitent ».
Une vulnérabilité XSS dans l'analyseur JavaScript très ennuyeuse
Parmi les 11 failles critiques qui ont pu être corrigées, on trouve pêle-mêle de l'exécution de code distant par contournement des commandes d'autorisation, de l'injection de code via Unsanitized Filename Argument ou Unsanitized Input Parameter, ou encore une attaque de type Wormable Stored XSS pour compromettre un compte iCloud.
Dès qu'il a eu connaissance de ces failles, Apple les a corrigé dans la foulée : de 4 à 6 heures pour certaines jusqu'à 1 ou 2 jours pour d'autres. De toutes celles portées à sa connaissance, la vulnérabilité XSS dans l'analyseur JavaScript utilisée par les serveurs de www.iCloud.com est sans aucun doute la plus critique de toutes. Étant donné qu'iCloud fournit un service à Apple Mail, la faille aurait pu être exploitée envers toute personne disposant d'une adresse iCloud.com ou Mac.com via un e-mail de phishing contenant des caractères malveillants.