Een beveiligingsonderzoeker genaamd David Coomber heeft een beveiligingsprobleem gevonden in het netwerk dat door Apple zelf wordt gebruikt. De spil in het web blijkt Applebot te zijn, de interne web crawler of spider die Apple gebruikt voor diensten als Siri en Spotlight.
De web crawler is een netwerk van bots dat voor Apple geautomatiseerd het web afzoekt. Het blijkt dat dit netwerk een proxy gebruikte dat Apple's eigen ip-adressen blootlegde. Coomber nam een zekere hoeveelheid ruis waar en zag dat er (uiteraard) aardig wat verzoeken via een Tor-netwerk binnenkwamen. Hij vond het interessant om te kijken welk deel van de verbindingen gebruikmaakten van een proxy.
Het principe van een proxy-server.
Apple heeft, zoals veel grote bedrijven, proxy's die de apparaten die op het eigen netwerk zijn aangesloten verbinden met het internet. De proxy's bleken het ip-adres van het apparaat achter de proxy bloot te leggen. Hierdoor kon de onderzoeker zien wat de bots precies bekeken. Opvallend genoeg was zelfs te zien dat er werd gezocht naar nieuwe afleveringen van zijn eigen Deep House Mixes-podcast. Het probleem werd veroorzaakt door de Via- en X-Forwarded-headers in de data die de bots versturen:
Before
17.X.X.X "HEAD /mixes/podcast.jpg HTTP/1.1" 301 "iTMS" "1.1 pv50XXX.apple.com (proxy product)" "X.X.X.12"
(External IP | Request | Response Code | User Agent | Via | X-Forwarded-For)After
17.X.X.X "HEAD /mixes/podcast.jpg HTTP/1.1" 301 "iTMS" "" ""
(External IP | Request | Response Code | User Agent | Via | X-Forwarded-For)
Coomber heeft het probleem op 21 december 2019 aangekaart bij Apple en heeft daarna met het Product Security-team gewerkt om het op te lossen. Opvallend genoeg kostte het maar liefst negen maanden om het probleem te verhelpen, maar het is niet duidelijk waarom het zo lang duurde. In ieder geval is het probleem opgelost, de onderzoeker heeft aan Bleeping Computer verklaard dat hij met Apple heeft samengewerkt om de interne proxy-configuraties te ontdoen van de Via- en X-Forwarded-headers.
Bronnen: Bleeping Computer, Information Security & Privacy Advisories
