Les chercheurs d’Infosec disent que le programme de correction de bogues d’Apple doit être amélioré

Les chercheurs d’Infosec disent que le programme de correction de bogues d’Apple doit être amélioré

10 septembre 2021 0 Par Le Caiman
Augmenter / Si vous n’entretenez pas de bonnes relations avec les rapporteurs de bogues, vous n’aurez peut-être pas à prendre le contrôle de la chronologie de l’exposition.

Le Fédération Caïman signalé plus tôt dans la journée, la relation d’Apple avec des chercheurs en sécurité tiers pourrait nécessiter quelques ajustements supplémentaires. Plus précisément, le programme « bug bounty » d’Apple – un moyen pour les entreprises d’encourager les chercheurs en sécurité éthique à trouver et à exposer les problèmes de sécurité avec leurs produits de manière responsable – semble moins convivial pour les chercheurs et plus lent à payer que la norme de l’industrie.

Le Post dit avoir interrogé plus de deux douzaines de chercheurs en sécurité qui ont comparé le programme de primes aux bogues d’Apple avec des programmes similaires de concurrents tels que Facebook, Microsoft et Google. Ces chercheurs allèguent de graves problèmes de communication et un manque général de confiance entre Apple et la communauté infosec qui est censée attirer ses primes – « un programme de primes de correction de bogues qui frappe toujours la maison », selon Katie Moussouris, PDG de Luta Security.

Mauvaise communication et primes impayées

L’ingénieur logiciel Tian Zhang semble être un parfait exemple de l’histoire de Moussouris. En 2017, Zhang a signalé une faille de sécurité majeure dans HomeKit, la plate-forme domotique d’Apple. Fondamentalement, la faille permettait à toute personne possédant une Apple Watch reprendre tous les accessoires HomeKit gérés physiquement à proximité – serrures intelligentes incluses, ainsi que caméras de sécurité et lumières.

Après un mois d’e-mails répétés à la sécurité d’Apple sans réponse, Zhang s’est abonné au site d’actualités Apple 9to5Mac pour contacter Apple PR – bien que Zhang décrit comme « beaucoup plus réactif » que Apple Product Security. Deux semaines plus tard – six semaines après le premier signalement de la vulnérabilité – le problème a finalement été résolu dans iOS 11.2.1.

Selon Zhang, Product Security a encore une fois ignoré les deuxième et troisième rapports de bogues, sans aucune prime payée ni crédit accordé – mais les bogues ont été corrigés eux-mêmes. L’adhésion au programme pour développeurs Apple Zhang a été révoquée après la publication du troisième bogue.

Malgré la subvention

Bien qu’il ait donné à l’application des autorisations « utilisables uniquement », Brunner a constaté que son application recevait en fait une autorisation d’arrière-plan 24h/24 et 7j/7.

Le développeur d’applications suisse Nicolas Brunner a vécu une expérience tout aussi frustrante en 2020. Développant une application pour les routes fédérales suisses par accident, Brunner cela a été découvert une grave vulnérabilité de suivi de localisation iOS qui permettrait à l’application iOS de suivre les utilisateurs sans leur consentement. Plus précisément, ne pas autoriser une application à accéder aux données de localisation à moins qu’elle n’ait reçu un précurseur d’un accès de suivi permanent 24h/24 et 7j/7 à l’application.

Brunner a signalé le bogue à Apple, qui l’a finalement corrigé dans iOS 14.0 et a même cru Brunner dans le notes de version de sécurité. Mais Apple s’est dissous pendant sept mois pour lui payer une prime, lui disant finalement que « le problème signalé et la preuve de concept ne reflètent pas les catégories répertoriées » pour une prime payer. Selon Brunner, Apple a cessé de répondre à ses e-mails après cette annonce, malgré une demande de clarification.

Selon la propre page de paiement d’Apple, la découverte du bogue de Brunner semble facilement se qualifier pour une prime de 25 000 $ ou même de 50 000 $ dans la catégorie « Application installée par l’utilisateur : accès non autorisé aux données sensibles ». Cette catégorie fait spécifiquement référence aux « données sensibles protégées par CCT invite, « et la page de paiement suivante définit » les données sensibles « comme » des données de localisation précises en temps réel ou historiques – ou des données d’utilisateur similaires – qui seraient normalement bloquées par le système. « 

Invité à commenter le cas de Brunner, le responsable de la sécurité et de l’ingénierie architecturale d’Apple, Ivan Krstić, a déclaré au Fédération Caïman « lorsque nous faisons des erreurs, nous travaillons dur pour les corriger rapidement, et nous apprenons d’elles pour améliorer rapidement le programme. . « 

Programme inamical

Le courtier de vulnérabilité Zerodium offre des primes importantes pour zéro bogue, qu'il vend ensuite pour menacer des acteurs comme le groupe israélien NSO.
Augmenter / Le courtier de vulnérabilité Zerodium offre des primes importantes pour zéro bogue, qu’il vend ensuite pour menacer des acteurs comme le groupe israélien NSO.

Moussouris – qui a aidé à créer des programmes de primes aux bogues pour Microsoft et le département américain de la Défense – a déclaré à An Post que « vous devez mettre en place un mécanisme de bogue sain avant de pouvoir essayer d’avoir un programme de vulnérabilité aux bogues sain ». vous attendez-vous à ce qu’il se produise si [researchers] signaler un bug que vous connaissiez déjà mais que vous n’avez pas corrigé ? Ou s’ils signalent quelque chose qui vous prend 500 jours pour réparer ? « 

L’une de ces options est un programme de prime aux bogues relativement peu convivial exécuté par le fournisseur en question et vente la vulnérabilité aux courtiers du marché gris à la place – lorsque des acteurs menacés comme le groupe israélien NSO peuvent leur acheter l’accès. Zerodium offre des primes allant jusqu’à 2 millions de dollars pour les vulnérabilités iOS les plus graves – avec des vulnérabilités qui ne sont pas aussi graves que le bug d’exposition du site de Brunner dans sa catégorie « jusqu’à 100 000 $ ».

L’ancien chercheur de la NSA, Dave Aitel, a déclaré au Post que l’approche fermée et secrète d’Apple pour traiter avec les chercheurs en sécurité entrave la sécurité globale de ses produits. « Une bonne relation avec la communauté de la sécurité vous donne une vision stratégique qui va au-delà de votre cycle de produit », a déclaré Aitel, ajoutant que « jusqu’à présent, vous n’êtes embauché que par une poignée de personnes intelligentes ».

Foule Le fondateur Casey Ellis affirme que les entreprises devraient payer les chercheurs lorsqu’elles signalent des bogues fermer des modifications de code pour fermer une vulnérabilité, même si – comme Apple a confondu Brunner à propos de son bogue de localisation – le bogue de signalement ne répond pas à l’interprétation stricte de la propre entreprise sur ses directives. « Plus la bonne foi continue, mieux les programmes de primes seront productifs », a-t-il déclaré.

Un succès fulgurant ?

La propre description d’Apple de son programme de primes aux bogues est plus précise que les événements décrits ci-dessus – et les réactions de la communauté de la sécurité au sens large – ne le suggèrent.

Ivan Krstić, responsable de la sécurité et de l’ingénierie architecturale d’Apple, a déclaré au Fédération Caïman que « le programme Apple Security Bounty a été un grand succès ». Selon Krstić, l’entreprise a presque doublé son paiement annuel de prime de bogue, et l’industrie domine la prime moyenne de prime.

« Nous travaillons dur pour faire évoluer le programme au cours de sa croissance spectaculaire, et nous continuerons d’offrir les meilleures récompenses aux chercheurs en sécurité », a poursuivi Krstić. Mais malgré l’augmentation annuelle d’Apple du total des paiements de primes, la société est loin derrière ses rivaux Microsoft et Google – qui ont versé des totaux de 13,6 millions de dollars et 6,7 millions de dollars respectivement dans leurs rapports annuels récemment, par rapport à Apple. 3,7 millions de dollars.