Bug Apple dans la facturation sur iTunes et AppStore

Protection des donnéesResponsables ITAppleFaille de sécuritéiPhoneVulnérabilité
Bug Apple iTunes AppStore

Bug Apple dans la facturation sur iTunes et AppStore

Bug Apple iTunes AppStoreUn bug Apple sérieux a été découvert dans les applications web iTunes et AppStore, qui représentait un danger pour les acheteurs, les vendeurs, ainsi que les managers et développeurs de site web Apple.

Un expert en sécurité faisant partie du Vulnerability Lab, a trouvé que les systèmes Apple avaient une confiance excessive dans la manière avec laquelle étaient gérés les noms des équipements. Une erreur qui exposait les utilisateurs à un risque sévère vis-à-vis d’attaques de type .

Ce bug Apple (ID sécurité Apple n°623920272), a été repéré par Benjamin Kunz Mejri le 8 Juin 2015. Un niveau de sévérité HAUT lui a été attribué, ainsi qu’un score de 5.9 dans le CVSS. Il en a informé Apple le jour suivant, et depuis Apple a résolu ce problème.

Le nom que vous donnez à votre iPhone, devrait être, en principe, une information absolument banale et inoffensive. Cependant, en considérant ce dernier justement sans le niveau de sécurité nécessaire, Apple par inadvertance, l’a transformé en backdoor.

Le nom de votre équipement mobile est envoyé aux serveurs iTunes ou AppStore, avec le reste des données relatives à vos achats.

L’expert en question, a réalisé que n’importe quel nom saisi dans le champ réservé au niveau du téléphone (sous  RéglagesGénéralInformations →  Nom), se retrouvera dans ses emails, sans aucune vérification effectuée.

En replaçant, par exemple, le nom du téléphone par un code, ce dernier se retrouvera intégré, tout simplement et sans vérification, comme une partie du code HTML sur laquelle les factures se basent, au lieu d’être une donnée intégrée dans ces dernières.

En d’autres termes, il pouvait  insérer, au sein des factures générées automatiquement, un code malveillant à la place du nom du téléphone.

Pour un potentiel hacker, ce bug Apple représente une formidable porte ouverte :

Les meilleures pratiques en matière de sécurité informatique, exigent que n’importe quelle donnée, en provenance d’un utilisateur, saisie directement ou non par ce dernier, soit traitée comme potentiellement dangereuse, et soit par conséquent gérer de manière appropriée.

Concernant les attaques XSS, cela implique de vérifier que les données fournies par l’utilisateur, et que vous recevez, soient conformes à celles attendues, et soient ensuite redirigées correctement, si ces dernières doivent être utilisées au niveau d’un programme externe, par exemple.

Les vulnérabilités XSS sont bien connues, bien comprises et faciles à contrer. Cependant elles font encore partie, aujourd’hui, des vulnérabilités les plus fréquemment rencontrées au sein des applications web.

Des compagnies importantes comme Apple, doivent absolument avoir un système de contrôle qualité en place pour stopper ce type d’erreurs facilement identifiables, avant de rentrer dans un processus de production.

Pour finir, quand ce genre d’erreur survient, il est primordial de la traiter en urgence et discrètement, afin de pouvoir féliciter le Vulnerability Lab pour avoir révélé le problème en toute responsabilité, et féliciter Apple pour avoir trouvé une solution rapidement.

Billet inspiré de : “Apple puts a stop to invoice poisoning bug” par Mark Stockley de Naked Security

Partagez “Bug Apple dans la facturation sur iTunes et AppStore” avec http://wp.me/p2YJS1-1ZB

Leave a Reply

Your email address will not be published.