Une faille critique a été découverte dans le système de facturation de l'App Store et iTunes d'Apple qui pourrait entraîner le détournement de session et une manipulation malveillante de la facture. Révélée cette semaine par le chercheur en sécurité Benjamin Kunz Mejri de vulnérabilité Lab, la faille d'injection persistante a été catégorisée comme étant critique. Dans un billet, Mejri a décrit un scénario de l’attaque. Tout d’abord, il a rappelé que l’App Store et iTunes récupèrent le paramètre device-cell du dispositif des utilisateurs qui veulent effectuer des achats. Des attaquants peuvent alors manipuler la valeur du paramètre par un échange de code script avant de choisir une application sur les vitrines en ligne iTunes ou App Store depuis l’application sur mobile ou sur ordinateur portable. Durant cette procédure, le service interne de l'App Store interne récupère la valeur de l'appareil (qui a été modifiée) et l’encode.Le contexte compte vendeur est exécuté avec cette modification et ré-implémenté dans la facture, ce qui se traduit par l’exécution d’un code script du côté du module de facturation Apple Invoice. Les attaquants peuvent donc se servir de ce bug via une manipulation persistante du contexte d’autres comptes utilisateurs d’Apple.
En clair, voici comment cela fonctionne : vous changez le nom de votre i-Device et vous y incluez un code (JavaScript). Par la suite vous téléchargez ou achetez une application sur les vitrines en ligne App Store ou iTunes Store. Le système d’Apple génère une facture, vous l’envoie par courriel et rend une copie disponible en ligne accessible depuis votre compte.
Le code JavaScript, camouflé dans la variable du nom de votre dispositif, sera intégré dans la facture. Alors ouvrir ladite facture dans un navigateur va provoquer son exécution et permettre des choses comme tenter de prendre le contrôle de votre compte Apple, des attaques de type phishing, une redirection persistante vers des sources externes voire une manipulation du contexte du module du dispositif affecté ou connecté.
« La facture est présente à la fois chez le commerçant et le client, ce qui montre un risque significatif chez les commerçants, clients, ou même les gestionnaires / développeurs du site web d’Apple. Il y a également le risque qu’un commerçant soit l’acheteur en utilisant le même nom pour compromettre l’intégrité du service en ligne », a estimé Mejri qui a estimé à 5,8 la magnitude CVSS (Common Vulnerability Scoring System) de la vulnérabilité. Apple Invoice est le module vulnérable ainsi que les paramètres device-cell et type cell.
Une vidéo démonstrative d’une PoC (Proof of Concept).
Mejri a déjà informé le constructeur d’iPhone. Plus tôt ce mois-ci, Apple a corrigé une pléthore de vulnérabilités affectant iOS et OS X. Si elles étaient exploitées, elles permettaient à un attaquant d’exécuter du code à distance, de lancer des attaques de type man-in-the-middle et bien d’autres choses encore.
Source : Vulnerability-Lab