Un ricercatore di Detectify ha spiegato come un’indagine su Apple CloudKit abbia portato a tempi di inattività accidentali della funzionalità dei collegamenti per gli utenti.
A marzo, gli utenti Apple hanno iniziato a segnalare messaggi di errore quando hanno tentato di aprire scorciatoie condivise. Questo bizzarro problema era particolarmente preoccupante per i creatori di contenuti che condividevano scorciatoie con i loro follower tramite iCloud, che improvvisamente hanno scoperto che i loro collegamenti erano interrotti.
I rapporti hanno iniziato a emergere il 24 marzo e il giorno dopo, il produttore di iPad e iPhone ha dichiarato al caporedattore di MacStories , Federico Viticci, che la società stava “lavorando per ripristinare le scorciatoie precedentemente condivise il più rapidamente possibile”.
Secondo Detectify Knowledge Advisor e cacciatore di taglie Frans Rosén, la causa principale del problema era un errore di configurazione errata in cui si è imbattuto accidentalmente – e attivato – in Apple CloudKit.
Lunedì, Rosén ha pubblicato dettagli sulla situazione, in cui stava esaminando la sicurezza dei servizi Apple. L’esplorazione di Rosén è iniziata a febbraio e in particolare ha voluto indagare sul framework CloudKit , una piattaforma per la creazione di contenitori adatti allo storage dei dati nell’ecosistema Apple.
Rosén afferma di aver notato che molte delle applicazioni di Apple archiviavano informazioni in database basati su CloudKit e quindi era “curioso” di sapere se i dati di alcune app specifiche potevano essere modificati ottenendo l’accesso ai loro contenitori CloudKit pubblici.
Il ricercatore ha scoperto che venivano utilizzate varie API per connettersi a CloudKit. Secondo Rosén, ci sono tre ambiti nei contenitori: Privato (le informazioni sono accessibili solo da te), Condiviso (condivisibile tra utenti) e Pubblico (accessibile a chiunque). Le zone sono inoltre impostate con diversi livelli di autorizzazione.
Rosén ha iniziato a testare queste autorizzazioni e ha trovato diverse vulnerabilità in CloudKit relative a iCrowd+, Apple News e Shortcuts che gli hanno permesso di manomettere i contenuti, comprese le voci di borsa.
Il problema più importante e pubblico, riscontrato nelle scorciatoie a marzo, “ha causato l’interruzione di tutti i collegamenti di condivisione delle scorciatoie ed è stato rapidamente notato tra gli utenti Apple, i giornalisti dei media e in particolare i fan delle scorciatoie”, ha affermato Detectify.
Secondo Rosén, aveva precedentemente testato diversi modi per eliminare le zone pubbliche e l’autorizzazione veniva sempre negata, tuttavia, nel database Shortcuts CloudKit, il ricercatore è stato sorprendentemente in grado di creare zone e gli è stato anche dato un messaggio “OK” nel tentativo di eliminare una zona predefinita.
Ciò è stato causato da un’errata configurazione da parte di Apple.
“Tutti erano spariti”, ha detto il ricercatore. “Ora mi sono reso conto che l’eliminazione ha funzionato in qualche modo, ma che _defaultZone non è mai scomparsa. Quando ho provato a condividere una nuova scorciatoia, non ha funzionato, almeno non all’inizio, molto probabilmente a causa dell’eliminazione anche dei tipi di record.”
A questo punto, Rosén ha contattato il team di sicurezza di Apple, che gli ha chiesto di interrompere immediatamente i test. Apple Security si è quindi messa al lavoro per risolvere il problema, ripristinando la funzionalità dei collegamenti e risolvendo il problema nel processo perfezionando i suoi controlli di sicurezza e rimuovendo le opzioni per creare nuove ed eliminare zone pubbliche esistenti.
Si precisa che l’interruzione non ha consentito al ricercatore l’accesso ad alcun utente o dato sensibile.
Sebbene accidentale e causando non solo il panico per il ricercatore ma anche tempi di inattività non intenzionali per gli utenti, Rosén ha ricevuto una taglia di $ 28.000 per la sua scoperta tramite il programma Apple Security Bounty.
“Avvicinarsi a CloudKit per i bug si è rivelato molto divertente, un po’ spaventoso e un ottimo esempio di ciò che può comportare una vera immersione in una tecnologia quando si cacciano i bug”, ha commentato Rosén. “Il team di Apple Security è stato incredibilmente disponibile e professionale durante tutto il processo di segnalazione di questi problemi.”
Le vulnerabilità in iCrowd+ e Apple News gli sono valse anche taglie di $ 12.000 e $ 24.000.
“Vorremmo ringraziare questo ricercatore per aver lavorato fianco a fianco con noi per proteggere i nostri utenti e i loro dati”, ha detto a ZDNet un portavoce di Apple. “Ha immediatamente segnalato le sue azioni in modo che siamo stati in grado di risolvere rapidamente i problemi documentati e ripristinare la funzionalità dopo che il ricercatore ha involontariamente interrotto la capacità di utilizzare i collegamenti di condivisione di iCloud per i collegamenti”.