V roku 2019 Apple otvorila pre verejnosť svoj program Security Bounty , ktorá ponúka výplaty až do výšky 1 milióna dolárov výskumníkom, ktorí zdieľajú kritické bezpečnostné zraniteľnosti iOS, iPadOS, macOS, tvOS alebo watchOS so spoločnosťou Apple, vrátane techník používaných na ich zneužitie. Program je navrhnutý tak, aby pomohol spoločnosti Apple udržiavať jej softvérové platformy čo najbezpečnejšie.
Odvtedy sa objavili správy, ktoré to naznačujú niektorí výskumní pracovníci v oblasti bezpečnosti sú s programom nespokojní , a teraz bezpečnostný výskumník, ktorý používa pseudonym 'illusionofchaos', sa podelil o svoju podobnú 'frustrujúcu skúsenosť'.
Apple puzdro na batériu na iphone 12 pro max
V príspevok v blogu zvýraznené od Kosta Eleftheriou , nemenovaný bezpečnostný výskumník uviedol, že od marca do mája tohto roku nahlásili spoločnosti Apple štyri zraniteľnosti nultého dňa, ale povedali, že tri zo zraniteľností sú stále prítomné v systéme iOS 15 a že jedna bola opravená v systéme iOS 14.7 bez toho, aby im spoločnosť Apple nejaké poskytla. úver.
Chcem sa podeliť o svoju frustrujúcu skúsenosť z účasti v programe Apple Security Bounty. Tento rok som nahlásil štyri 0-dňové zraniteľnosti medzi 10. marcom a 4. májom, zatiaľ tri z nich sú stále prítomné v najnovšej verzii iOS (15.0) a jedna bola opravená v 14.7, ale Apple sa to rozhodol zakryť a neuvádzajte ho na stránke bezpečnostného obsahu. Keď som ich konfrontoval, ospravedlnili sa, ubezpečili ma, že sa to stalo kvôli problému so spracovaním, a sľúbili, že to uvedú na stránke bezpečnostného obsahu ďalšej aktualizácie. Odvtedy vyšli tri vydania a zakaždým porušili svoj sľub.
Táto osoba povedala, že minulý týždeň varovala Apple, že ak nedostane odpoveď, zverejní svoj výskum. Uviedli však, že Apple žiadosť ignoroval, čo ich viedlo k verejnému zverejneniu zraniteľností.
macbook pro koniec roka 2016 vs 2017
Jedna zo zraniteľností zero-day sa týka Game Center a údajne umožňuje akejkoľvek aplikácii nainštalovanej z App Store prístup k niektorým užívateľským údajom:
- E-mail Apple ID a celé meno, ktoré je s ním spojené
- autentifikačný token Apple ID, ktorý umožňuje prístup aspoň k jednému z koncových bodov na *.apple.com v mene používateľa
- Kompletný súborový systém s prístupom na čítanie do databázy Core Duet (obsahuje zoznam kontaktov z pošty, SMS, iMessage, aplikácií na odosielanie správ tretích strán a metadáta o všetkých interakciách používateľa s týmito kontaktmi (vrátane časových pečiatok a štatistík), tiež niektoré prílohy (napr. adresy URL a texty)
- Kompletný súborový systém s prístupom na čítanie do databázy Speed Dial a databázy Address Book vrátane obrázkov kontaktov a iných metadát, ako sú dátumy vytvorenia a úprav (práve som skontroloval iOS 15 a tento je nedostupný, takže jeden musel byť nedávno v tichosti opravený )
Ďalšie dve zraniteľnosti zero-day, ktoré sú zjavne stále prítomné v systéme iOS 15, ako aj jedna opravená v systéme iOS 14.7, sú tiež podrobne uvedené v blogovom príspevku.
airpods pro ako dlho vydržia
Apple zatiaľ nekomentoval blogový príspevok. Ak spoločnosť odpovie, tento príbeh aktualizujeme.Súvisiace zhrnutia: iOS 15 , iPad 15Kliknutím zobrazíte konkrétne využitie Game Center. je to drsné. S fungujúcim bezpečnostným programom by takéto veci takmer nikdy nemali prekĺznuť. Namiesto toho s Apple je to bežné. Je to tak hlboko zlomené, no nič sa nemení. čo to bude trvať? — Marco Arment (@marcoarment) 24. septembra 2021
Populárne Príspevky