Uno sviluppatore ha trovato il moto per utilizzare CloudKit di Apple per eliminare le Siri Shortcuts pubbliche e persino i contenuti di altre app come Apple News.
CloudKit è un framework Apple integrato in iOS e macOS che funziona come backend per le app. Lo sviluppatore Frans Rosén ha iniziato a cercare exploit sulle piattaforme Apple nel febbraio di quest’anno, controllando il traffico di tutte le app Apple e studiando a fondo proprio CloudKit. Sebbene siano sempre necessarie le credenziali per leggere e scrivere contenuti privati, lo sviluppatore ha scoperto che i contenuti pubblici condivisi in iCloud sono accessibili a chiunque disponga di token pubblici.
Controllando le connessioni delle app di Apple con l’API CloudKit, Rosén è riuscito a ottenere un token valido per accedere ai contenuti pubblici da iCloud. Naturalmente, il procedimento effettivo è stato molto più complesso di quanto sembri, ma il risultato potrebbe essere disastroso per Apple se questo exploit cadesse nelle mani sbagliate.
Ad esempio, lo sviluppatore è stato in grado di eliminare i collegamenti a tutti gli articoli pubblici di Apple News e di cancellare tutte le Scorciatoie Siri pubbliche condivise dagli utenti.
Rosén ha subito contattato il team di sicurezza di Apple, che in seguito ha risolto il bug con un aggiornamento software.