В 2019 году компания Apple открыла свою программу Security Bounty Program для общественности, предлагая выплаты до 1 миллиона долларов исследователям, которые сообщат Apple о критических уязвимостях в безопасности iOS, iPadOS, macOS, tvOS или watchOS, включая методы, используемые для их эксплуатации. Программа призвана помочь компании обеспечить максимальную безопасность своих платформ.

За прошедшее время появились сообщения, что некоторые исследователи безопасности недовольны инициативой, и теперь один из таких специалистов под псевдонимом «illusionofchaos» поделился своим «разочаровывающим опытом».

В сообщении, опубликованном в блоге Коста Элефтериу, анонимный эксперт по заявил, что в период с марта по май этого года они сообщили Apple о четырёх уязвимостях нулевого дня. Но, по его словам, три из этих уязвимостей всё ещё присутствуют в iOS 15, и только одна из них была исправлена в iOS 14.7, при этом Apple не выплатила никаких компенсаций.

Я хочу поделиться своим разочаровывающим опытом участия в программе Apple Security Bounty. В этом году я сообщил о четырех уязвимостях нулевого дня, в период с 10 марта по 4 мая. На данный момент три из них всё ещё присутствуют в последней версии iOS (15.0), и только одна была исправлена в 14.7, но Apple решила скрыть её и не указывать на странице содержимого безопасности. Когда я обратился к ним, в компании извинились, заверили меня, что это произошло из-за проблемы с обработкой и пообещали указать это на странице содержания безопасности в следующем обновлении. С тех пор вышло три обновления, и каждый раз они нарушали свое обещание.

По словам автора, на прошлой неделе они предупредили компанию о том, что обнародуют результаты своих исследований, если не получат ответа. Однако Apple проигнорировала запрос, что и привело к публичному раскрытию уязвимостей.

Одна из уязвимостей нулевого дня связана с Game Center и, предположительно, позволяет любому приложению, установленному из App Store, получить доступ к некоторым данным пользователя:

  • Электронный адрес Apple ID и полное имя, связанное с ним
  • Токен аутентификации Apple ID, позволяющий получить доступ хотя бы к одной из конечных страниц на *.apple.com от имени пользователя
  • Полный доступ на чтение базы данных Core Duet (содержит список контактов из Почты, СМС, iMessage, сторонних приложений для обмена сообщениями и метаданные обо всех взаимодействиях пользователя с этими контактами (включая временные метки и статистику), а также некоторые вложения (например, URL и текстовые сообщения))
  • Полный доступ к базе данных Speed Dial и базе данных Адресной книги, включая фотографии контактов и другие метаданные, такие как даты создания и изменения (я только что проверил на iOS 15, и эта функция недоступна, так что, должно быть, она была недавно исправлена втихую).
Работа с безопасностью — это сотрудничество с разработчиками. Что нужно сделать, чтобы Apple изменила всю свою КУЛЬТУРУ отношения к внешним разработчикам?

Две другие уязвимости нулевого дня, которые, по всей видимости, всё ещё присутствуют в iOS 15, а также уязвимость, исправленная в iOS 14.7, также подробно описаны в сообщении.


Researcher Says Apple Ignored Three Zero-Day Security Vulnerabilities Still Present in iOS 15
In 2019, Apple opened its Security Bounty Program to the public, offering payouts up to $1 million to researchers who share critical iOS, iPadOS,...

Ещё по теме: