В 2019 году компания Apple открыла свою программу Security Bounty Program для общественности, предлагая выплаты до 1 миллиона долларов исследователям, которые сообщат Apple о критических уязвимостях в безопасности iOS, iPadOS, macOS, tvOS или watchOS, включая методы, используемые для их эксплуатации. Программа призвана помочь компании обеспечить максимальную безопасность своих платформ.
За прошедшее время появились сообщения, что некоторые исследователи безопасности недовольны инициативой, и теперь один из таких специалистов под псевдонимом «illusionofchaos» поделился своим «разочаровывающим опытом».
В сообщении, опубликованном в блоге Коста Элефтериу, анонимный эксперт по заявил, что в период с марта по май этого года они сообщили Apple о четырёх уязвимостях нулевого дня. Но, по его словам, три из этих уязвимостей всё ещё присутствуют в iOS 15, и только одна из них была исправлена в iOS 14.7, при этом Apple не выплатила никаких компенсаций.
Я хочу поделиться своим разочаровывающим опытом участия в программе Apple Security Bounty. В этом году я сообщил о четырех уязвимостях нулевого дня, в период с 10 марта по 4 мая. На данный момент три из них всё ещё присутствуют в последней версии iOS (15.0), и только одна была исправлена в 14.7, но Apple решила скрыть её и не указывать на странице содержимого безопасности. Когда я обратился к ним, в компании извинились, заверили меня, что это произошло из-за проблемы с обработкой и пообещали указать это на странице содержания безопасности в следующем обновлении. С тех пор вышло три обновления, и каждый раз они нарушали свое обещание.
По словам автора, на прошлой неделе они предупредили компанию о том, что обнародуют результаты своих исследований, если не получат ответа. Однако Apple проигнорировала запрос, что и привело к публичному раскрытию уязвимостей.
Одна из уязвимостей нулевого дня связана с Game Center и, предположительно, позволяет любому приложению, установленному из App Store, получить доступ к некоторым данным пользователя:
- Электронный адрес Apple ID и полное имя, связанное с ним
- Токен аутентификации Apple ID, позволяющий получить доступ хотя бы к одной из конечных страниц на *.apple.com от имени пользователя
- Полный доступ на чтение базы данных Core Duet (содержит список контактов из Почты, СМС, iMessage, сторонних приложений для обмена сообщениями и метаданные обо всех взаимодействиях пользователя с этими контактами (включая временные метки и статистику), а также некоторые вложения (например, URL и текстовые сообщения))
- Полный доступ к базе данных Speed Dial и базе данных Адресной книги, включая фотографии контактов и другие метаданные, такие как даты создания и изменения (я только что проверил на iOS 15, и эта функция недоступна, так что, должно быть, она была недавно исправлена втихую).
Security relations are developer relations.
— Marco Arment (@marcoarment) September 24, 2021
What will it take for Apple to change their entire CULTURE of how they treat outside developers? https://t.co/BQdN1tRiyF
Две другие уязвимости нулевого дня, которые, по всей видимости, всё ещё присутствуют в iOS 15, а также уязвимость, исправленная в iOS 14.7, также подробно описаны в сообщении.
Joe Rossignol
Ещё по теме:
- У iPhone 13 Pro выявили проблему с использованием зарядного устройства MagSafe Duo. Но на деле всё работает
- Приложения для iPhone 13 Pro не всегда работают с частотой 120 Гц
- Специалисты iFixit разобрали iPhone 13 и iPhone 13 Pro в реальном времени
