El 2019, Apple va obrir el seu programa de recompenses de seguretat al públic , que ofereix pagaments de fins a 1 milió de dòlars als investigadors que comparteixen vulnerabilitats de seguretat crítiques d'iOS, iPadOS, macOS, tvOS o watchOS amb Apple, incloses les tècniques utilitzades per explotar-les. El programa està dissenyat per ajudar Apple a mantenir les seves plataformes de programari tan segures com sigui possible.
En el temps posterior, han aparegut informes que ho indiquen alguns investigadors de seguretat no estan satisfets amb el programa , i ara un investigador de seguretat que utilitza el pseudònim 'illusionofchaos' ha compartit la seva igualment 'frustrant experiència'.
Com restablir l'iPhone 6s plus
En a entrada al blog destacat per Kosta Eleftheriou , l'investigador de seguretat sense nom va dir que van informar quatre vulnerabilitats de dia zero a Apple entre març i maig d'enguany, però van dir que tres de les vulnerabilitats encara estan presents a iOS 15 i que una es va solucionar a iOS 14.7 sense que Apple els donés cap. crèdit.
Vull compartir la meva frustrant experiència participant al programa de recompenses de seguretat d'Apple. He informat de quatre vulnerabilitats de dia 0 aquest any entre el 10 de març i el 4 de maig, ara tres d'elles encara estan presents a l'última versió d'iOS (15.0) i una es va solucionar a la 14.7, però Apple va decidir tapar-ho i no la llista a la pàgina de contingut de seguretat. Quan els vaig enfrontar, em van disculpar, em van assegurar que va passar per un problema de processament i van prometre incloure-ho a la pàgina de contingut de seguretat de la propera actualització. Hi va haver tres llançaments des d'aleshores i van trencar la seva promesa cada vegada.
La persona va dir que, la setmana passada, van advertir a Apple que faria pública la seva investigació si no rebia resposta. Tanmateix, van dir que Apple va ignorar la sol·licitud, cosa que els va portar a revelar públicament les vulnerabilitats.
com fer que els airpods només es connectin al telèfon
Una de les vulnerabilitats de dia zero es relaciona amb Game Center i suposadament permet que qualsevol aplicació instal·lada des de l'App Store accedeixi a algunes dades d'usuari:
- Correu electrònic de l'identificador d'Apple i nom complet associat
- Fitxa d'autenticació de l'identificador d'Apple que permet accedir com a mínim a un dels punts finals a *.apple.com en nom de l'usuari
- Accés de lectura del sistema de fitxers complet a la base de dades Core Duet (conté una llista de contactes de Mail, SMS, iMessage, aplicacions de missatgeria de tercers i metadades sobre tota la interacció de l'usuari amb aquests contactes (incloses les marques de temps i estadístiques), també alguns fitxers adjunts (com ara URL i textos)
- Accés de lectura del sistema de fitxers complet a la base de dades de marcatge ràpid i a la base de dades de la llibreta d'adreces, incloses les imatges de contactes i altres metadades com les dates de creació i modificació (acabo de comprovar a iOS 15 i aquest no és accessible, de manera que s'ha d'haver arreglat en silenci recentment). )
Les altres dues vulnerabilitats de dia zero que aparentment encara estan presents a iOS 15, així com la pegada a iOS 14.7, també es detallen a la publicació del bloc.
Apple Watch sèrie 2 vs se
Apple encara no ha comentat la publicació del bloc. Actualitzarem aquesta història si l'empresa respon.Resums relacionats: iOS 15 , iPad 15Feu clic per veure l'explotació del Game Center en particular. És aspre. Coses com aquesta gairebé mai no haurien de passar per les esquerdes amb un programa de seguretat en funcionament. En canvi, amb Apple, és habitual. Això està tan profundament trencat, però no canvia res. Què caldrà? — Marco Arment (@marcoarment) 24 de setembre de 2021
Entrades Populars