Аппле у 2019 отворио свој Сецурити Боунти Програм за јавност , нудећи исплате до милион долара истраживачима који деле критичне безбедносне пропусте иОС, иПадОС, мацОС, твОС или ватцхОС са Аппле-ом, укључујући технике које се користе за њихово искоришћавање. Програм је дизајниран да помогне Аппле-у да своје софтверске платформе одржи што безбеднијим.
У међувремену су се појавили извештаји који то указују неки истраживачи безбедности су незадовољни програмом , а сада је истраживач безбедности који користи псеудоним „илузија хаоса“ поделио своје слично „фрустрирајуће искуство“.
како одговорити на одређену поруку на иПхоне-у
У а блог пост истакнуто од Косте Елефтеријуа , неименовани истраживач безбедности је рекао да су пријавили четири рањивости нултог дана Аппле-у између марта и маја ове године, али су рекли да су три рањивости и даље присутне у иОС-у 15 и да је једна поправљена у иОС-у 14.7, а да им Аппле није дао никакву кредит.
Желим да поделим своје фрустрирајуће искуство учешћа у Аппле Сецурити Боунти програму. Ове године сам пријавио четири 0-дневне рањивости између 10. марта и 4. маја, од сада су три и даље присутне у најновијој верзији иОС-а (15.0), а једна је поправљена у 14.7, али је Аппле одлучио да то прикрије и не наводи га на страници са безбедносним садржајем. Када сам се суочио са њима, извинили су се, уверили ме да се то догодило због проблема са обрадом и обећали да ће то навести на страници са безбедносним садржајем следећег ажурирања. Од тада су била три издања и сваки пут су прекршили обећање.
Особа је рекла да су прошле недеље упозорили Аппле да ће објавити своје истраживање ако не добију одговор. Међутим, рекли су да је Аппле игнорисао захтев, што их је навело да јавно открију рањивости.
који је мој број Аппле картице
Једна од рањивости нултог дана односи се на Гаме Центер и наводно омогућава било којој апликацији инсталираној из Апп Сторе-а да приступи неким корисничким подацима:
– Аппле ИД имејл и пуно име повезано са њим
– Аппле ИД токен за аутентификацију који омогућава приступ најмање једној од крајњих тачака на *.аппле.цом у име корисника
- Комплетан приступ систему датотека за читање бази података Цоре Дует (садржи листу контаката из Маил, СМС, иМессаге, апликација за размену порука трећих страна и метаподатака о свим интеракцијама корисника са овим контактима (укључујући временске ознаке и статистику), такође неке прилоге (нпр. УРЛ адресе и текстови)
- Комплетан приступ систему датотека за читање бази података за брзо бирање и бази података адресара, укључујући слике контаката и друге метаподатке као што су датуми креирања и модификације (управо сам проверио на иОС 15 и овај је недоступан, тако да је један мора да је тихо поправљен недавно )
Друге две рањивости нултог дана које су очигледно још увек присутне у иОС-у 15, као и она која је закрпљена у иОС-у 14.7, такође су детаљно описане у посту на блогу.
направити Цхроме подразумевани претраживач за иОС без јаилбреак-а
Аппле још није коментарисао пост на блогу. Ажурираћемо ову причу ако компанија одговори.Повезани прегледи: иОС 15 , иПад 15Кликните да бисте видели посебно експлоатацију Гаме Центер-а. грубо је. Овакве ствари готово никада не би требало да прођу кроз пукотине са функционалним безбедносним програмом. Уместо тога, са Аппле-ом, то је уобичајено. То је тако дубоко сломљено, али се ништа не мења. Шта ће бити потребно? — Марко Армент (@марцоармент) 24. септембра 2021. године
Популар Постс