Bons Plans

 / 

Apple : sept vulnérabilités Zero-day trouvées dans Safari

Tech > Apple > Apple : sept vulnérabilités Zero-day trouvées dans Safari
Par Lionel,  publié le 3 avril 2020 à 17h30.
 2 minutes
Tech

Apple/Begeek

Le chercheur Ryan Pickren a récolté la coquette somme de 75 000 dollars en révélant à Apple différentes failles de sécurité permettant de faire croire à Safari qu'un site web malicieux était un site de confiance, et de déclencher la caméra et le micro.

Apple a récemment mis à jour son programme de bug bounty ou chasse aux exploits qui permet de sécuriser davantage l’écosystème de la marque à la pomme contre des compensations financières versées aux hackers éthiques. Alors qu’auparavant le programme de bug bounty n’était ouvert qu’aux personnes invitées et se limitait aux appareils utilisant iOS, les chercheurs en sécurité peuvent depuis le mois de septembre s’intéresser aux systèmes d’exploitation macOS, iPadOS, tvOS, watchOS et même à iCloud. Les conditions d’acception des rapports sont standards à ceux de l’industrie : il est nécessaire de “fournir un rapport clair, qui inclut un exploit fonctionnel” qui n’a pas été divulgué au public et le bogue doit être reproductible par les équipes d’Apple. Depuis la fin de l’année, il est possible de toucher jusqu’à 1 million de dollars pour les attaques réseau sans intervention de l’utilisateur, plus particulièrement si elles touchent au noyau.

Sept vulnérabilités au sein de Safari

Le chercheur en sécurité Ryan Pickren n’a peut-être pas touché le gros lot avec son dernier rapport de bogues, mais il a en tout cas mis le doigt sur une mine de vulnérabilités, puisqu’ils en a dénichés sept à force de travail : “Imaginez que vous êtes sur un site web populaire quand tout à coup une bannière publicitaire vient pirater votre caméra et votre microphone pour vous espionner. C’est exactement ce que cette vulnérabilité aurait permis.” explique-t-il.

Un accès à la caméra sans intervention de l’utilisateur

En exploitant différentes vulnérabilités (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-20000 3887, CVE-2020-9784 et CVE-2020-9787), le chercheur est parvenu à faire passer un site malicieux pour un site de confiance aux yeux du navigateur Safari, sur les versions desktop (MacOS) ou mobile (iPad et iPhone). Trois d’entre elles permettent d’accéder à la caméra sans demander l’autorisation à l’utilisateur. Grâce à ses découvertes, qu’Apple a pu reproduire, il s’est vu récompensé de 75 000 dollars. Pas d’inquiétude toutefois, il ne révèle ces failles qu’après l’application de correctif par l’entreprise de Cupertino.

En savoir plus
Application mobile begeek

Newsletter Begeek


Recevez le meilleur de Begeek sélectionné par la rédaction.


Recevez chaque jour notre sélection de bons plans !

Dans Tech

Reverb G2 : HP lance les précommandes de son nouveau casque de réalité virtuelle
iPhone 12 : des rendus imprimés en 3D révèlent quelques changements de design
Des vendeurs tiers sur Amazon gonflent les prix en déclarant leurs produits comme étant collector
Le premier Apple MacBook sous ARM pourrait arriver avant la fin de l’année
La compatibilité de iOS 14 se dévoile avant l’heure
Apple MacBook Pro 13 pouces : la raison derrière l’augmentation du tarif de l’option RAM supplémentaire expliquée
La production de l’iPhone 12 de 6,1 pouces devrait démarrer en juillet
Apple Watch Series 6 : toujours le même écran ?
La sonnette vidéo Arlo répond désormais aux commandes Google Assistant
Apple double le tarif de l’augmentation de RAM sur son MacBook Pro 13 pouces d’entrée de gamme