Saturday, October 16, 2021

Ερευνητής κατηγορεί την Apple πως αγνόησε 3 zero-day κενά ασφαλείας που είναι ακόμη ενεργά στην iOS 15

Το 2019 η Apple άνοιξε ένα Security Bounty πρόγραμμα στο κοινό προσφέροντας μέχρι και $1 εκατομμύριο σε ερευνητές που θα κοινοποιούσαν σε αυτή ευπάθειες των iOS, iPadOS, macOS, tvOS ή watchOS καθώς και κενά ασφαλείας δίνοντας και πληροφορίες για τεχνικές χρήσης τους. Το πρόγραμμα αυτό έχει σχεδιαστεί έτσι ώστε να μπορέσει η Apple να κρατήσει ασφαλείς τις πλατφόρμες της όσο περισσότερο γίνεται.

iPhone 13 Security
Μετά από ένα διάστημα ξεκίνησαν οι αναφορές που έδειχναν πως κάποιοι ερευνητές ασφαλείας δεν ήταν ευχαριστημένοι με αυτό το πρόγραμμα και πλέον ένας από αυτούς με το ψευδώνυμο “illusionofchaos” μοιράστηκε δημόσια την εμπειρία του.

Σε ένα ποστ του αναφέρει πως γνωστοποιήθηκαν 4 zero-day κενά ασφαλείας στην Apple μεταξύ Μαρτίου και Μάϊου φέτος αλλά 3 από αυτά είναι ακόμη ενεργά στην iOS 15 ενώ το ένα που έγινε patch και διορθώθηκε στην iOS 14.7 δεν τους αναγνωρίστηκε.

“Θέλω να κοινοποιήσω την απογοητευτική εμπειρία που είχα συμμετέχοντας στο Apple Security Bounty πρόγραμμα. Ανέφερα 4 0-day ευπάθειες φέτος μεταξύ 10 Μαρτίου και 4 Μάϊου και αυτή την στιγμή 3 από αυτές παραμένουν στην iOS 15 ενώ η μια που διορθώθηκε στην 14.7 έκδοση η Apple την κάλυψε και δεν την συμπεριέλαβε στην σελίδα με τις αναβαθμίσεις ασφαλείας της. Όταν τους γνωστοποίησα την αρνητική εντύπωση που μου έκανε αυτό, μου ζήτησαν συγνώμη, και μου είπαν πως έγινε εξαιτίας ενός θέματος επεξεργασίας και πως θα την έβαζαν στην λίστα μαζί με το όνομα σε επόμενη αναβάθμιση του λογισμικού. Από τότε έχουν γίνει 3 αναβαθμίσεις και τίποτα δεν έγινε αθετώντας τον λόγο που μου έδωσαν.”

Ο ίδιος είχε προειδοποιήσει την Apple την περασμένη εβδομάδα πως θα κοινοποιούσε την έρευνα του στο κοινό αν δεν είχε απάντηση από την εταιρεία. Η Apple δεν απάντησε πίσω ποτέ και έτσι ο ερευνητής ασφαλείας και η ομάδα του κοινοποιήσαν στο ευρύ κοινό αυτές τις ευπάθειες.

Μια από αυτές έχει να κάνει με το Game Center που επιτρέπει οποιαδήποτε εφαρμογή από το App Store να έχει πρόσβαση σε δεδομένα του χρήστη.

Ακολουθήστε το AppleWorldHellas στο Google News για να ενημερώνεστε άμεσα για όλα τα νέα άρθρα! Όσοι χρησιμοποιείτε υπηρεσία RSS (π.χ. Feedly), μπορείτε να προσθέσετε το AppleWorldHellas στη λίστα σας με αντιγραφή και επικόλληση της διεύθυνσης https://appleworldhellas.com/feed 

Dimitrios Georgoulas
Dimitris is the co-owner and chief in editor of AppleWorldHellas. With a PhD Degree in Wireless Sensor Networks and with more than 10 years experience in covering Apple and technology news he loves the challenges and new adventures.