Menu
Begeek.fr
Obtenir l’application
Navigation : 
  • Tech
    • Apple
    • Google
    • Android
    • Facebook
  • Pop Culture
    • Netflix
  • Jeux Vidéo
    • PS5
    • Xbox Series X
    • Play To Earn
  • Fintech
    • Crypto-monnaies
    • Les meilleures cartes bancaire Bitcoin
    • Les meilleurs wallet crypto
    • Créer son RIG de minage
    • Cloud mining et stacking
En ce moment : 
  • Crypto : guide du débutant
  • Sorare : le guide
  • Meilleures exchanges Crypto

Apple : sept vulnérabilités Zero-day trouvées dans Safari

Tech > Apple > Safari
Par Lionel,  publié le 3 avril 2020 à 17h30.

Le chercheur Ryan Pickren a récolté la coquette somme de 75 000 dollars en révélant à Apple différentes failles de sécurité permettant de faire croire à Safari qu'un site web malicieux était un site de confiance, et de déclencher la caméra et le micro.

Apple a récemment mis à jour son programme de bug bounty ou chasse aux exploits qui permet de sécuriser davantage l’écosystème de la marque à la pomme contre des compensations financières versées aux hackers éthiques. Alors qu’auparavant le programme de bug bounty n’était ouvert qu’aux personnes invitées et se limitait aux appareils utilisant iOS, les chercheurs en sécurité peuvent depuis le mois de septembre s’intéresser aux systèmes d’exploitation macOS, iPadOS, tvOS, watchOS et même à iCloud. Les conditions d’acception des rapports sont standards à ceux de l’industrie : il est nécessaire de “fournir un rapport clair, qui inclut un exploit fonctionnel” qui n’a pas été divulgué au public et le bogue doit être reproductible par les équipes d’Apple. Depuis la fin de l’année, il est possible de toucher jusqu’à 1 million de dollars pour les attaques réseau sans intervention de l’utilisateur, plus particulièrement si elles touchent au noyau.

Sept vulnérabilités au sein de Safari

Le chercheur en sécurité Ryan Pickren n’a peut-être pas touché le gros lot avec son dernier rapport de bogues, mais il a en tout cas mis le doigt sur une mine de vulnérabilités, puisqu’ils en a dénichés sept à force de travail : “Imaginez que vous êtes sur un site web populaire quand tout à coup une bannière publicitaire vient pirater votre caméra et votre microphone pour vous espionner. C’est exactement ce que cette vulnérabilité aurait permis.” explique-t-il.

Un accès à la caméra sans intervention de l’utilisateur

En exploitant différentes vulnérabilités (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-20000 3887, CVE-2020-9784 et CVE-2020-9787), le chercheur est parvenu à faire passer un site malicieux pour un site de confiance aux yeux du navigateur Safari, sur les versions desktop (MacOS) ou mobile (iPad et iPhone). Trois d’entre elles permettent d’accéder à la caméra sans demander l’autorisation à l’utilisateur. Grâce à ses découvertes, qu’Apple a pu reproduire, il s’est vu récompensé de 75 000 dollars. Pas d’inquiétude toutefois, il ne révèle ces failles qu’après l’application de correctif par l’entreprise de Cupertino.

Le Récap
  • Sept vulnérabilités au sein de Safari
  • Un accès à la caméra sans intervention de l’utilisateur
En savoir plus
  • Comment profiter de iMessage sur Windows
  • Le Finder de macOS dispose d’un mode de recherche avancée
  • Comment ajouter un verrouillage Face ID sur n’importe quelle application iOS
Vous aimez nos contenus ?
Recevez chaque jour nos dernières publications gratuitement et directement dans votre boite mail
Recevoir la newsletter
  • Infos Légales
  • Contact
  • À propos
  • Données personnelles
  • Archives
  • Musique en ligne
© 2023 - Tous droits réservés sur les contenus du site Begeek.fr  - ADN Contents -