[ad_1]
L’une des choses dont Apple semble être fier dans ses nombreuses campagnes marketing est la confidentialité et la sécurité des utilisateurs. Mais l’entreprise basée à Cupertino et son personnel ont-ils réellement ces valeurs aussi chères et chères à cœur qu’elles les mènent ?
De nombreux fans d’Apple n’hésiteraient pas à répondre à la question ci-dessus par un « oui » ferme ou, à tout le moins, à soutenir qu’Apple en fait plus dans cet espace que les autres entreprises technologiques. Mais d’autres s’opposeraient à de telles réponses et défendraient un point de vue entièrement différent, et peut-être pour une bonne raison.
Dans une correspondance exclusive avec 08Tc3wBB, nous avons été gracieusement éclairés par le point de vue d’un chercheur en sécurité sur la question. Les résultats peuvent vous ouvrir les yeux sur un point de vue totalement nouveau, surtout si vous soutenez habituellement les affirmations marketing d’Apple.
Si vous ne le saviez pas déjà, 08Tc3wBB est un hacker et chercheur en sécurité qui fait fréquemment la une des journaux après avoir découvert des failles de sécurité dans les systèmes d’exploitation d’Apple. L’une de ses réalisations les plus reconnaissables a été un exploit utilisé par l’Odyssey et les jailbreaks unc0ver pour lancer diverses versions d’iOS 12 et 13. Plus récemment, il a annoncé la découverte d’une vulnérabilité 0-day pour iOS 15, mais il n’y a pas de plans immédiats pour le publier publiquement.
Mis à part cet impressionnant palmarès, revenons au point qui nous occupe…
Le marketing d’Apple n’est que ça… du marketing
Apple embellit la sécurité de ses nombreuses plateformes, y compris iOS, iPadOS et macOS sur une page Web dédiée. La société cite toutes sortes de mécanismes de sécurité conçus pour « optimiser » la sécurité des utilisateurs, y compris le matériel lui-même, les logiciels qui s’exécutent dessus, les offres d’applications et de services organisées et le cryptage des données de bout en bout.
Mais est-ce que l’un de ces éléments tient même la route si les systèmes d’exploitation d’Apple ne reçoivent pas les correctifs de sécurité appropriés et en temps opportun peu de temps après que les chercheurs en sécurité ont signalé leurs problèmes à l’entreprise ?
08Tc3wBB est de l’état d’esprit qu’Apple fait un véritable effort pour assurer la sécurité de ses utilisateurs, et même si je pense que c’est vrai dans une certaine mesure, une chose 08Tc3wBB et je suis tous les deux d’accord sur le fait qu’Apple pourrait bénéficier de la mise en place de pratiques internes d’entreprise qui récompensent des corrections de bogues de meilleure qualité qui amélioreront la sécurité des utilisateurs.
La vulnérabilité qui n’aurait jamais dû exister
En octobre de cette année, 08Tc3wBB a reçu 52 500 $ d’Apple après avoir signalé une vulnérabilité critique du noyau affectant les Mac équipés d’une puce M1 qui, si elle était exploitée, aurait accordé à un attaquant des privilèges de lecture et d’écriture sur la mémoire du noyau de l’appareil. Ce bug a été officiellement corrigé en mai, mais il est à noter qu’Apple en a été informé plusieurs mois plus tôt.
Les exploits existent dans pratiquement toutes les combinaisons matérielles et logicielles, donc l’existence d’un exploit n’est pas vraiment un problème. La préoccupation porte plutôt sur la façon dont 08Tc3wBB basé avec succès une grande partie de la vulnérabilité basée sur M1 sur des détails qui ont été discutés dans un article publié sur le blog Zimperium à la mi-2017.
L’article de blog, rédigé par Adam Donenfeld, détaille au moins sept bogues différents au niveau du noyau associés à un module de pilote peu connu appelé AppleAVE qui, pour une raison quelconque, a « négligé les principes de base de la sécurité, dans la mesure où les vulnérabilités… étaient suffisantes. assez pour pwn le noyau et obtenir des lectures/écritures et root arbitraires.
Apple aurait corrigé ces vulnérabilités plus tard et leur aurait attribué des numéros d’identification CVE. Cela se produit généralement lorsqu’Apple publie une page « à propos du contenu de sécurité de… » faisant référence à une mise à jour logicielle spécifique, et vous en avez probablement vu une vous-même immédiatement après une mise à jour logicielle pour votre propre iPhone ou iPad.
Mais dans ce cas, 08Tc3wBB décrit comment Apple a simplement masqué les vulnérabilités en durcissant le bac à sable plutôt qu’en les corrigeant carrément. Lors de la publication de nouveaux bugs d’échappement du bac à sable qui ont réactivé l’accès à ces vulnérabilités en 2019, 08Tc3wBB a depuis signalé une multitude de vulnérabilités différentes directement liées à ce même module de pilote AppleAVE.
Au total, 08Tc3wBB a gagné 315 500 $ en primes de diverses sources, notamment SSD Secure Disclosure, ZecOps et Apple, après avoir pu accéder à nouveau et exploiter le module de pilote AppleAVE obscurci. Pomme finalement a abordé la mauvaise mise en œuvre de la sécurité du module dans une mise à jour récente, mais qu’est-ce qui a pris autant de temps à l’entreprise pour le faire ?
Les circonstances peuvent sembler familières si vous vous souvenez du problème de segment de chevauchement dyld exploité par le jailbreak evasi0n pour iOS 6, car l’exploit de cet outil n’a été que partiellement corrigé jusqu’à iOS 9.2. Il a été abusé à plusieurs reprises par evasi0n, Pangu, TaiG et d’autres avec seulement des ajustements mineurs à la logique d’exploitation au cours d’iOS 6, 7, 8 et 9. Cela s’est produit parce que les correctifs d’Apple étaient inefficaces jusqu’à ce qu’ils soient pris plus au sérieux plus tard. .
Vous commencez à relier les points avec les motifs décrits ci-dessus ? 08Tc3wBB a certainement…
Apple devrait essayer de remonter le moral en matière de recherche sur la sécurité
Ces histoires soulèvent la question suivante : si le module du pilote AppleAVE était aussi peu sûr que décrit dès le début, alors pourquoi l’équipe de sécurité d’Apple ne l’a-t-il pas correctement traité en 2017 lorsqu’il a été divulgué à l’origine ? Peut-être plus important encore, pourquoi a-t-il fallu autant de rapports de vulnérabilité supplémentaires liés au module de pilote AppleAVE et des centaines de milliers de dollars de primes avant que l’équipe de sécurité d’Apple ne prenne officiellement des mesures acceptables ?
Le public ne découvrira peut-être jamais la vraie réponse à ces questions puisque le personnel de l’équipe de sécurité d’Apple est probablement lié par des accords de non-divulgation, mais 08Tc3wBB a l’impression que la motivation pourrait y être pour beaucoup.
Pourquoi demandes-tu? Lorsqu’un chercheur en sécurité signale un bogue sur l’une des plates-formes d’Apple, il reçoit à la fois une reconnaissance publique et une somme d’argent considérable en retour. Mais comme le souligne 08Tc3wBB, le personnel de l’équipe de sécurité d’Apple ne reçoit pas vraiment le même type de crédit, d’éloges ou d’incitations pour son travail continu. Si cela n’était pas assez malheureux, des délais stricts ralentissent la chaîne de commandement et font pression sur ces mêmes membres du personnel de l’équipe de sécurité, comme cela se produirait dans n’importe quel travail.
À partir de là, la psychologie humaine de base entre en jeu et il est facile de comprendre pourquoi les employés de l’équipe de sécurité peuvent ne pas être aussi motivés qu’ils pourraient l’être pour faire de leur mieux. Au lieu de cela, le système actuel d’Apple encourage les correctifs « assez bons » dans des périodes de temps plus courtes afin qu’Apple puisse dire qu’ils « ont fait quelque chose à ce sujet », et cela ne profite en rien à l’utilisateur final.
Une conséquence directe est que les utilisateurs reçoivent des correctifs logiciels de moindre qualité et à moindre effort qui sont facilement et à plusieurs reprises exploités par des chercheurs en sécurité déterminés qui changent leur méthode d’attaque. Dans un système correctement incité, les utilisateurs pourraient recevoir des correctifs de sécurité bien pensés qui seraient beaucoup plus difficiles à contourner pour les pirates.
Cela changera-t-il jamais ?
La réalité frappe certainement fort si vous pensiez qu’Apple fait tout son possible pour protéger vos données, mais 08Tc3wBB pense que les choses pourraient changer si Apple offrait simplement au personnel de son équipe de sécurité les mêmes niveaux de reconnaissance, d’éloges et d’incitations qu’ils offrent à ceux qui les découvrent. Après tout, ce sont les membres du personnel qui consacrent leur temps et leurs efforts à lutter en permanence contre l’assaut des failles de sécurité.
08Tc3wBB a poursuivi en nous disant qu’Apple pourrait et devrait être plus transparent sur le processus de correction des vulnérabilités, en particulier envers les chercheurs en sécurité qui les signalent.
Actuellement, Apple ne fournit aucun retour aux journalistes de bogue sur la façon dont ils prévoient de corriger un bogue. Mais ils devraient le faire, car ce sont souvent les chercheurs en sécurité eux-mêmes qui peuvent fournir un point de vue précieux sur la façon de réparer efficacement ce qu’ils trouvent.
Conclusion
Il ressort clairement du langage marketing d’Apple que l’entreprise prend la sécurité plus au sérieux que beaucoup d’autres entreprises technologiques. Mais sur la base des observations de @ 08Tc3wBB, il semble que la plus grande faiblesse du système actuel de correction de bogues d’Apple soit le moral bas.
Pour résoudre ce problème, Apple devrait envisager de redoubler d’efforts pour remonter le moral de son personnel interne de sécurité logicielle avec des incitations qui récompensent des corrections de bogues satisfaisantes et opportunes. Cela peut inclure de travailler avec des chercheurs en sécurité externes pour améliorer la qualité de ces correctifs de sécurité et offrir une reconnaissance valable pour tout le travail acharné qui permet de rendre tout cela possible.
Nos échanges avec 08Tc3wBB étaient en effet perspicaces. Nous aimerions certainement espérer qu’Apple découvrira une manière significative de répondre à ces préoccupations, et pas seulement une manière significative, mais la droit manière. N’êtes-vous pas d’accord ? Partagez vos réflexions à ce sujet dans la section commentaires ci-dessous.
[ad_2]
Poster un Commentaire