Сенсація

В iOS знайшли чотири вразливості, але Apple півроку їх ігнорує

Користувач «Хабра» з ніком illusionofchaos знайшов чотири критичні уразливості в iOS, які дозволяють отримати доступ до персональних даних користувачів. Він розраховував на винагороду в рамках програми Security Bounty, але Apple виправила тільки одну помилку, а потім почала ігнорувати розробника.

У квітні illusionofchaos відправив Apple докладний звіт, а в липні була випущена iOS 14.7, закрила один експлойт. Через нього сторонні могли дізнатися безліч аналітичних даних: медичну інформацію (стать, вік, серцевий ритм, довжина менструального циклу), тривалість сеансів в додатках, кількість отриманих повідомлень, мови сторінок сайтів, які користувач переглядав в Safari, а також список підключених аксесуарів .

Решта три уразливості все ще присутні в iOS 15. Вони дозволяють дізнатися повне ім’я власника пристрою, отримати доступ до інформації про електронну пошту, прив’язаною до Apple ID, контактам електронної пошти, SMS і iMessage, а також деяким вкладенням в повідомленнях (наприклад, URL- адресами і текстам). Крім того, зловмисник може вивантажити список встановлених додатків і дані про Wi-Fi.

Помилки пов’язані з private API. На сторінці програми Apple Security Bounty винагороду за виявлення таких оцінюється в 100 тисяч доларів. Після отримання звіту компанія повідомила, що ознайомилася з ним і проводить розслідування.

В результаті illusionofchaos не заплатили, а на подальші листи Apple за півроку так і не відповіла, тому він вирішив оприлюднити подробиці про знайдені вразливості в відкритому доступі.

Джерело


Ми використовуємо cookies, щоб проаналізувати та покращити роботу нашого сайту, персоналізувати рекламу. Продовжуючи відвідування сайту, ви надаєте згоду на використання cookies та погоджуєтесь з Політикою конфіденційності.

Поштова адреса: вул. Дмитрівська, 30, м. Київ, 01154
Телефон: +380 (96) 915-55-60