研究人员称 iOS 15 正式版仍存在 3 个零日安全漏洞
据 MacRumors 报道,2019 年,苹果公司向公众开放了安全悬赏计划,向与苹果公司分享关键的 iOS、iPadOS、macOS、tvOS 或 watchOS 安全漏洞的研究人员提供最高 100 万美元(约 646 万元人民币)的报酬,包括利用这些漏洞的技术。该计划旨在帮助苹果公司尽可能地保持其软件平台的安全。
在此后的时间里,有报告显示一些安全研究人员对该计划不满意,现在一位使用化名“illusionofchaos”的安全研究人员分享了他们类似的“令人沮丧的经历”。
在 Kosta Eleftheriou 强调的一篇博文中,这位不愿透露姓名的安全研究员说,他们在今年 3 月至 5 月间向苹果报告了 4 个零日漏洞(0-day,是指被发现后立即被恶意利用的安全漏洞),但他们说,其中 3 个漏洞在 iOS 15 中仍然存在,一个漏洞在 iOS 14.7 中得到了修复,但苹果没有给他们任何奖励。
“我想分享我参加苹果安全悬赏计划的令人沮丧的经历。今年 3 月 10 日至 5 月 4 日期间,我报告了 4 个零日漏洞,截至目前,其中 3 个仍存在于最新的 iOS 版本(15.0)中,一个在 14.7 中得到修复,但苹果决定掩盖它,不把它列在安全内容页面上。当我与他们对质时,他们表示歉意,向我保证这是由于处理问题而发生的,并承诺在下一次更新的安全内容页面上列出。此后有三个版本,他们每次都违背承诺。”
该人士说,上周,他们警告通知苹果,如果他们没有收到回应,他们将公开自己的研究。然而,苹果公司没有理会这一要求,导致他们公开披露了这些漏洞。
其中一个零日漏洞与游戏中心有关,据称允许任何从 App Store 安装的应用程序访问一些用户数据。
“- Apple ID 电子邮件和与之相关的全名
- Apple ID 认证令牌,允许代表用户访问 *.apple.com 上的至少一个端点
- 对 Core Duet 数据库的完整文件系统读取访问,包含来自邮件、短信、iMessage、第三方消息应用程序的联系人列表以及关于所有用户与这些联系人互动的元数据(包括时间戳和统计数据),还有一些附件(如 URL 和文本)。
- 对快速拨号数据库和地址簿数据库的完整文件系统读取权限,包括联系人图片和其他元数据,如创建和修改日期(刚刚在 iOS 15 上检查过,这个漏洞无法访问,所以这个漏洞最近一定被悄悄修复了)。”
另外两个零日漏洞显然仍然存在于 iOS 15 中,以及 iOS 14.7 中修补的那个漏洞,也在博文中被详细说明。
不过在这位安全人员公开投诉后,苹果公司联系到了他,对此前的忽视表示歉意,并表示其“仍在调查”这些问题。
苹果公司在邮件中说到:我们看到了你关于这个问题的博文和你的其他报告。我们对延迟回复表示歉意。我们想让你知道,我们仍在调查这些问题,以及我们如何解决这些问题以保护客户。再次感谢你花时间向我们报告这些问题,我们感谢你的帮助。如果你有任何问题,请让我们知道。
苹果确实在 iOS 14.7 中修复了其中一个漏洞。但其他三个仍未解决,包括一个游戏中心的漏洞,据称该漏洞允许从 App Store 安装的任何应用程序,访问完整的 Apple ID 电子邮件和姓名、Apple ID、联系人列表等。
据报道,Tokarev 在 3 月 10 日和 5 月 4 日之间首次就这些漏洞与苹果公司联系,因此苹果公司有几个月的时间来发布补丁。
但值得注意的是,安全研究人员已经证实,这些漏洞并不是十分重要,因为如果想要利用这些漏洞,首先需要一个恶意应用程序获得 App Store 的批准。
特别声明:本文版权归文章作者所有,仅代表作者观点,不代表爱思助手观点和立场。本文为第三方用户上传,仅用于学习和交流,不用于商业用途,如文中的内容、图片、音频、视频等存在第三方的知识产权,请及时联系我们删除。
-
如何使用描述文件升级iOS 15?描述文件升级iOS 15方法教程
对于喜欢尝鲜的苹果用户来说,提前体验iOS 15测试版也是人生一大乐趣。那么iOS15怎么升级呢?如何使用描述文件升级iOS 15?以下是使用描述文件升级iOS 15方法教程。
-
iOS 15测试版升级_iOS 15测试版一键刷机教程
苹果新的 iOS 15 操作系统与所有能够运行 iOS 14 的 iPhone 兼容,包括最初 iPhone SE、iPhone 6s 和 iPhone 6s Plus 及以上设备。
-
苹果 iOS 15 “钱包”应用全新功能汇总
新功能有这些:数字身份证、家庭钥匙、汽车钥匙、存档证件……
-
苹果 iOS 15 中提供了哪些隐私保护措施?
更多功能,更安全。
-
与 iOS 14 相比,苹果 iOS 15 正式版头两周安装率更低
据 9to5Mac 报道,9 月中旬,iOS 15 发布两天后,有调查显示用户升级到 iOS 15 的时间比升级到 iOS 14 的时间长。两周后,iOS 15 的安装率仍低于去年。分析公司 Mixpanel 数据显示,只有 8.59% 的用户在 iOS 15 正式版发布 48 小时内更新了设备。相比之下,去年同期 iOS 14 发布时,这一数字为 14.68%。近 15 天过去了,iOS 15 的安装速度仍低于上一代。Mixpanel 表示,截至 2021 年 10 月 5 日,iOS 15 的采用率为 22.22%。在 202...