蘋果粉點點讚
據 MacRumors 報道,2019 年,蘋果公司向公眾開放了安全懸賞計劃,向與蘋果公司分享關鍵的 iOS、iPadOS、macOS、tvOS 或 watchOS 安全漏洞的研究人員提供最高 100 萬美元(約 646 萬元人民幣)的報酬,包括利用這些漏洞的技術。該計劃旨在幫助蘋果公司盡可能地保持其軟件平台的安全。
在此後的時間裡,有報告顯示一些安全研究人員對該計劃不滿意,現在一位使用化名“illusionofchaos”的安全研究人員分享了他們類似的“令人沮喪的經歷”。
在 Kosta Eleftheriou 強調的一篇博文中,這位不愿透露姓名的安全研究員說,他們在今年 3 月至 5 月間向蘋果報告了 4 個零日漏洞(0-day,是指被發現後立即被惡意利用的安全漏洞),但他們說,其中 3 個漏洞在 iOS 15 中仍然存在,一個漏洞在 iOS 14.7 中得到了修復,但蘋果沒有給他們任何獎勵。
“我想分享我參加蘋果安全懸賞計劃的令人沮喪的經歷。今年 3 月 10 日至 5 月 4 日期間,我報告了 4 個零日漏洞,截至目前,其中 3 個仍存在於最新的 iOS 版本(15.0)中,一個在 14.7 中得到修復,但蘋果決定掩蓋它,不把它列在安全內容頁面上。當我與他們對質時,他們表示歉意,向我保證這是由於處理問題而發生的,并承諾在下一次更新的安全內容頁面上列出。此後有三個版本,他們每次都違背承諾。”
該人士說,上周,他們警告通知蘋果,如果他們沒有收到回應,他們將公開自己的研究。然而,蘋果公司沒有理會這一要求,導致他們公開披露了這些漏洞。
其中一個零日漏洞與游戲中心有關,據稱允許任何從 App Store 安裝的應用程序訪問一些用戶數據。
“- Apple ID 電子郵件和與之相關的全名
– Apple ID 認證令牌,允許代表用戶訪問 *.apple.com 上的至少一個端點
– 對 Core Duet 數據庫的完整文件系統讀取訪問,包含來自郵件、短信、iMessage、第三方消息應用程序的聯系人列表以及關於所有用戶與這些聯系人互動的元數據(包括時間戳和統計數據),還有一些附件(如 URL 和文本)。
– 對快速撥號數據庫和地址簿數據庫的完整文件系統讀取權限,包括聯系人圖片和其他元數據,如創建和修改日期(剛剛在 iOS 15 上檢查過,這個漏洞無法訪問,所以這個漏洞最近一定被悄悄修復了)。”
另外兩個零日漏洞顯然仍然存在於 iOS 15 中,以及 iOS 14.7 中修補的那個漏洞,也在博文中被詳細說明。
不過在這位安全人員公開投訴後,蘋果公司聯系到了他,對此前的忽視表示歉意,并表示其“仍在調查”這些問題。
蘋果公司在郵件中說到:我們看到了你關於這個問題的博文和你的其他報告。我們對延遲回復表示歉意。我們想讓你知道,我們仍在調查這些問題,以及我們如何解決這些問題以保護客戶。再次感謝你花時間向我們報告這些問題,我們感謝你的幫助。如果你有任何問題,請讓我們知道。
蘋果確實在 iOS 14.7 中修復了其中一個漏洞。但其他三個仍未解決,包括一個游戲中心的漏洞,據稱該漏洞允許從 App Store 安裝的任何應用程序,訪問完整的 Apple ID 電子郵件和姓名、Apple ID、聯系人列表等。
據報道,Tokarev 在 3 月 10 日和 5 月 4 日之間首次就這些漏洞與蘋果公司聯系,因此蘋果公司有幾個月的時間來發布補丁。
但值得注意的是,安全研究人員已經證實,這些漏洞并不是十分重要,因為如果想要利用這些漏洞,首先需要一個惡意應用程序獲得 App Store 的批準。
