🔍 Contexte
Article technique publié le 27 mars 2026 sur Substack par un chercheur en sécurité. Il documente l’analyse par rétro-ingénierie des Background Security Improvements (BSI), le nouveau mécanisme de correctifs silencieux d’Apple introduit avec iOS 26.1/macOS 26.1 en remplacement des Rapid Security Responses (RSR).
🛡️ Mécanisme BSI
Les BSI fonctionnent via des cryptexes (images disque scellées sur le volume preboot) contenant Safari, WebKit et les bibliothèques système. Le patch applique un diff binaire sur le cryptex concerné, puis demande un nouveau manifeste Cryptex1Image4 au service de signature Apple. Le système de fichiers racine n’est pas modifié.
Mises à jour BSI du 17 mars 2026 :
- iOS 26.3.1 (a) — build 23D771330a
- iPadOS 26.3.1 (a) — build 23D771330a
- macOS 26.3.2 (a) — build 25D771400a
- macOS 26.3.1 (a) — build 25D771280a
🐛 CVE-2026-20643 : Bypass Same-Origin via Navigation API
WebKit — La propriété NavigateEvent.canIntercept retournait true à tort pour des origines cross-port (ex: localhost:3000 vs localhost:8080). La logique booléenne combinait isSameSiteAs ET isSameOriginAs avec un AND, permettant à isSameSiteAs=true de court-circuiter la vérification de port.
- Rapporté par Dom Christie le 2026-02-06, corrigé par Ahmad Saleem
- PR WebKit #58094, Bugzilla Bug 307197, commit 850ce3163e55
- Livré dans Safari Technology Preview 238
- La fonction
innerDispatchNavigateEventa grandi de 46 instructions ARM64 (1243 → 1289)
⚠️ Correctifs non divulgués dans l’advisory
1. Débordement d’entier WebGL dans ANGLE :
libANGLE-shared.dylib — Les méthodes ProvokingVertexHelper::generateIndexBuffer et preconditionIndexBuffer ont vu leurs types de paramètres rétrécir de size_t (64 bits) à int/unsigned int (32 bits), avec une augmentation de taille des fonctions.
2. Autre changement non divulgué (article tronqué avant description complète).
Binaires AppOS mis à jour (6) : AuthenticationServicesAgent, com.apple.Safari.History, passwordbreachd, safarifetcherd, webbookmarksd, webinspectord — uniquement des métadonnées de version.
Dylibs DSC modifiées (6) : WebCore, libANGLE-shared.dylib, WebGPU, ProductKit, ProductKitCore, SettingsFoundation.
📋 Type d’article
Analyse technique approfondie de rétro-ingénierie, visant à documenter le contenu réel des correctifs silencieux Apple et à démontrer l’utilisation de l’outil ipsw pour l’analyse des BSI.
🔗 Source originale : https://open.substack.com/pub/calif/p/reverse-engineering-apples-silent?r=q9u24