Quiconque découvre des bugs dans iOS, peut en informer Apple et recevoir une récompense ('bug bounty'). Mais l'entreprise ne tient pas toujours ses promesses, selon un hacker éthique dénommé Illusionofchaos. L'entreprise ne communique pas toujours non plus sur les problèmes résolus.

Dans un message posté sur son blog, le pirate explique comment il a découvert entre le 10 mars et le 4 mai quatre failles 'zero day', dont il informa Apple. Ces failles se trouvent dans iOS 14.7, mais sont actives aussi dans iOS 15.

Résolues, mais en silence

Une telle faille a été entre-temps résolue, mais Apple ne l'a pas mentionné dans la documentation sur les correctifs sécuritaires ('security patches'). Lorsque le hacker en fit part à Apple, l'entreprise lui répondit qu'il s'agissait d'une erreur, mais qui n'a encore et toujours pas été rectifiée des mois plus tard.

Les trois autres bugs se trouvent toujours dans iOS 15. Frustré par la surdité sélective d'Apple, le pirate a par conséquent choisi de communiquer lui-même sur les problèmes rencontrés. Il s'agit quasiment toujours d'applis préinstallées qui collectent nettement plus d'informations qu'autorisé sur l'utilisateur ou l'appareil.

Le bug corrigé - Analticsd - permet à des applis installées d'accéder à des données sensibles comme des renseignements médicaux, le genre et l'âge.

De plus, il y a Gamed, un bug actif via le Game Center, par lequel des applis installées ont accès à la base de données Core Duet et donc à des contacts, SMS et autres messages, numéros de téléphone, adresse mail Apple ID et nom complet.

Autre bug moins sérieux, mais encore et toujours présent: Nemhelper Enumerate Installed Apps, une faille par laquelle une appli existante peut contrôler si une autre appli est installée. Enfin, citons également Nehelper Wifi Info, un bug donnant accès à des données de localisation via la connexion wifi de l'appareil utilisé.

Apple: 'On a subi du retard'

Partager des résultats en ligne semble entre-temps porter ses fruits. Illusionofchaos écrit en effet au bas de son blog qu'Apple a désormais réagi et a présenté ses excuses pour sa réponse tardive. L'entreprise examinerait encore et toujours les problèmes et des solutions possibles.

Contrairement à Microsoft et Android, Apple se montre très sélective dans sa communication sur les bugs sécuritaires. Mais récemment, l'entreprise a assez souvent commis des erreurs au niveau de la résolution correcte de ce genre de problème. La semaine dernière encore, on apprenait ainsi qu'un bug 'zero day' dans macOS avait été examiné, mais pas complètement corrigé.

Quiconque découvre des bugs dans iOS, peut en informer Apple et recevoir une récompense ('bug bounty'). Mais l'entreprise ne tient pas toujours ses promesses, selon un hacker éthique dénommé Illusionofchaos. L'entreprise ne communique pas toujours non plus sur les problèmes résolus.Dans un message posté sur son blog, le pirate explique comment il a découvert entre le 10 mars et le 4 mai quatre failles 'zero day', dont il informa Apple. Ces failles se trouvent dans iOS 14.7, mais sont actives aussi dans iOS 15.Une telle faille a été entre-temps résolue, mais Apple ne l'a pas mentionné dans la documentation sur les correctifs sécuritaires ('security patches'). Lorsque le hacker en fit part à Apple, l'entreprise lui répondit qu'il s'agissait d'une erreur, mais qui n'a encore et toujours pas été rectifiée des mois plus tard.Les trois autres bugs se trouvent toujours dans iOS 15. Frustré par la surdité sélective d'Apple, le pirate a par conséquent choisi de communiquer lui-même sur les problèmes rencontrés. Il s'agit quasiment toujours d'applis préinstallées qui collectent nettement plus d'informations qu'autorisé sur l'utilisateur ou l'appareil.Le bug corrigé - Analticsd - permet à des applis installées d'accéder à des données sensibles comme des renseignements médicaux, le genre et l'âge.De plus, il y a Gamed, un bug actif via le Game Center, par lequel des applis installées ont accès à la base de données Core Duet et donc à des contacts, SMS et autres messages, numéros de téléphone, adresse mail Apple ID et nom complet.Autre bug moins sérieux, mais encore et toujours présent: Nemhelper Enumerate Installed Apps, une faille par laquelle une appli existante peut contrôler si une autre appli est installée. Enfin, citons également Nehelper Wifi Info, un bug donnant accès à des données de localisation via la connexion wifi de l'appareil utilisé.Partager des résultats en ligne semble entre-temps porter ses fruits. Illusionofchaos écrit en effet au bas de son blog qu'Apple a désormais réagi et a présenté ses excuses pour sa réponse tardive. L'entreprise examinerait encore et toujours les problèmes et des solutions possibles.Contrairement à Microsoft et Android, Apple se montre très sélective dans sa communication sur les bugs sécuritaires. Mais récemment, l'entreprise a assez souvent commis des erreurs au niveau de la résolution correcte de ce genre de problème. La semaine dernière encore, on apprenait ainsi qu'un bug 'zero day' dans macOS avait été examiné, mais pas complètement corrigé.