Leta 2019 je Apple odprla svoj program Security Bounty za javnost , ki ponuja izplačila do 1 milijona dolarjev raziskovalcem, ki si z Appleom delijo kritične varnostne ranljivosti iOS, iPadOS, macOS, tvOS ali watchOS, vključno s tehnikami, ki se uporabljajo za njihovo izkoriščanje. Program je zasnovan tako, da Apple pomaga ohranjati svoje programske platforme čim bolj varne.
V tem času so se pojavila poročila, ki to kažejo nekateri varnostni raziskovalci niso zadovoljni s programom , zdaj pa je varnostni raziskovalec, ki uporablja psevdonim 'illusionofchaos', delil njihovo podobno 'frustrirajočo izkušnjo'.
kako dodati geslo v aplikacije
V blog objava poudarjeno avtorja Kosta Eleftheriou , je neimenovani varnostni raziskovalec povedal, da so Appleu med marcem in majem letos poročali o štirih ranljivostih ničelnih dni, vendar so dejali, da so tri ranljivosti še vedno prisotne v iOS 15 in da je bila ena odpravljena v iOS 14.7, ne da bi jim Apple dal kakršne koli kredit.
Želim deliti svojo razočarano izkušnjo s sodelovanjem v programu Apple Security Bounty. Letos sem poročal o štirih 0-dnevnih ranljivostih med 10. marcem in 4. majem, od zdaj so tri še vedno prisotne v najnovejši različici iOS (15.0), ena pa je bila odpravljena v 14.7, vendar se je Apple odločil, da bo to prikril in ne navede na strani z varnostno vsebino. Ko sem se soočil z njimi, so se opravičili, mi zagotovili, da se je to zgodilo zaradi težave z obdelavo, in obljubili, da bodo to navedli na strani z varnostno vsebino naslednje posodobitve. Od takrat so bile tri izdaje in vsakič so prekršili obljubo.
Oseba je povedala, da so prejšnji teden Apple opozorili, da bodo svojo raziskavo objavili, če ne bodo prejeli odgovora. Vendar so dejali, da je Apple ignoriral zahtevo, zaradi česar so javno razkrili ranljivosti.
kdaj se bo iphone xr nehal posodabljati
Ena od ranljivosti ničelnega dne se nanaša na Game Center in domnevno omogoča kateri koli aplikaciji, nameščeni iz App Store, dostop do nekaterih uporabniških podatkov:
- E-poštni naslov Apple ID in z njim povezano polno ime
- žeton za preverjanje pristnosti Apple ID, ki omogoča dostop do vsaj ene od končnih točk na *.apple.com v imenu uporabnika
- Popoln dostop za branje datotečnega sistema do baze podatkov Core Duet (vsebuje seznam stikov iz pošte, SMS, iMessage, aplikacij za sporočanje tretjih oseb in metapodatkov o vseh interakcijah uporabnika s temi stiki (vključno s časovnimi žigi in statistiko), tudi nekatere priloge (npr. URL-ji in besedila)
- Popoln dostop za branje datotečnega sistema do baze podatkov za hitro klicanje in baze podatkov imenika, vključno s slikami stikov in drugimi metapodatki, kot so datumi ustvarjanja in spreminjanja (pravkar sem preveril v iOS 15 in ta ni dostopen, tako da je bil verjetno pred kratkim tiho popravljen )
Drugi dve ranljivosti nič dneva, ki sta očitno še vedno prisotni v iOS 15, kot tudi tista, ki je bila popravljena v iOS 14.7, sta prav tako podrobno opisani v objavi na blogu.
kako postaviti napise na fotografije
Apple še ni komentiral objave na blogu. To zgodbo bomo posodobili, če se bo podjetje odzvalo.Povezani pregledi: iOS 15 , iPad 15Kliknite, če si želite ogledati predvsem izkoriščanje Game Center. je grobo. Takšne stvari skoraj nikoli ne bi smele zdrsniti skozi razpoke z delujočim varnostnim programom. Namesto tega je pri Applu to običajno. To je tako globoko zlomljeno, vendar se nič ne spremeni. Kaj bo potrebno? — Marco Arment (@marcoarment) 24. september 2021
Priljubljene Objave