Un bug di CloudKit consentiva di eliminare le Siri Shortcuts degli utenti

Scopriamo tutti i dettagli di un importante bug scoperto su CloudKit.

Uno sviluppatore ha trovato il moto per utilizzare CloudKit di Apple per eliminare le Siri Shortcuts pubbliche e persino i contenuti di altre app come Apple News.

bug CloudKit

CloudKit è un framework Apple integrato in iOS e macOS che funziona come backend per le app. Lo sviluppatore Frans Rosén ha iniziato a cercare exploit sulle piattaforme Apple nel febbraio di quest’anno, controllando il traffico di tutte le app Apple e studiando a fondo proprio CloudKit. Sebbene siano sempre necessarie le credenziali per leggere e scrivere contenuti privati, lo sviluppatore ha scoperto che i contenuti pubblici condivisi in iCloud sono accessibili a chiunque disponga di token pubblici.

Controllando le connessioni delle app di Apple con l’API CloudKit, Rosén è riuscito a ottenere un token valido per accedere ai contenuti pubblici da iCloud. Naturalmente, il procedimento effettivo è stato molto più complesso di quanto sembri, ma il risultato potrebbe essere disastroso per Apple se questo exploit cadesse nelle mani sbagliate.

Ad esempio, lo sviluppatore è stato in grado di eliminare i collegamenti a tutti gli articoli pubblici di Apple News e di cancellare tutte le Scorciatoie Siri pubbliche condivise dagli utenti.

Rosén ha subito contattato il team di sicurezza di Apple, che in seguito ha risolto il bug con un aggiornamento software.

NovitàAcquista il nuovo iPhone 16 su Amazon
News