Une faille au sein de CloudKit a permis à un chercheur en sécurité de supprimer les raccourcis des autres utilisateurs.
On en sait un peu plus sur les liens de partage de raccourcis qui avaient cessé de fonctionner en mars dernier. Si Apple avait reconnu le problème, la firme ne s'était pas étendue sur les causes. Le chercheur Frans Rosén, travaillant pour Detectify, explique au sein d'un billet de blog que ce sont bien ses recherches qui ont mené au dysfonctionnement de ces raccourcis partagés.
Frans Rosén a ainsi découvert que le contenu public partagé était accessible à toute personne disposant d'un token public, lui permettant de supprimer ses propres liens de partage, mais également ceux des autres utilisateurs. L'homme a alors contacté l'équipe de sécurité d'Apple afin de leur fair part de sa découverte, ce qui a ensuite permis de corriger la faille incriminée. Le chercheur souligne que l'équipe de sécurité de Cupertino a été incroyablement efficace et professionnelle, et précise qu'il a reçu des récompenses de 12 000, 24 000, et 28 000 dollars via le programme Apple Security Bounty pour ses découvertes.
