Apple ответила исследователю безопасности, который обнаружил несколько недостатков iOS 15 нулевого дня [U]

Эксплойт нулевого дня позволил хакерам SolarWinds извлекать данные для входа с устройств iOS

Apple пересмотрела свою программу вознаграждений за безопасность еще в 2019 году, сделав ее открытой для всех, увеличив выплаты и многое другое. Тем не менее, программа вызвала много критики со стороны сообщества информационной безопасности. Теперь другой исследователь безопасности поделился своим опытом, утверждая, что Apple не возложила на них должное за одну ошибку нулевого дня, о которой они сообщили, которая была исправлена, и что в iOS 15 есть еще три уязвимости нулевого дня.

Обновление от 27 сентября: публично поделившись своим опытом, Apple отреагировала исследователю безопасности illusionofchaos, также известному как Денис Токарев.

Как сообщает Motherboard, вот что Apple официально ответила, согласно Токареву:

«Мы видели ваше сообщение в блоге об этой проблеме и другие ваши отчеты. Мы приносим свои извинения за задержку с ответом вам », — написал сотрудник Apple. «Мы хотим сообщить вам, что мы все еще изучаем эти проблемы и способы их решения для защиты клиентов. Еще раз спасибо за то, что нашли время сообщить нам об этих проблемах, мы ценим вашу помощь. Пожалуйста, дайте нам знать, если у вас есть какие-либо вопросы.»

Компания Motherboard подтвердила, что электронное письмо от Apple Токареву было законным, подтвердив, что оно пришло с сервера, принадлежащего Apple. Материнская плата также попросила больше отзывов от участников сообщества информационных технологий:

«Хотя я рад, что Apple, похоже, сейчас более серьезно относится к этой конкретной ситуации, это больше похоже на реакцию на плохую прессу, чем на что-либо еще», — говорит Николас Птачек, исследователь, работающий в SecureMac, компании, занимающейся кибербезопасностью. Компьютеры Apple.

Между тем, другой ветеран кибербезопасности сказал:

Но то, как Apple справилась со всем этим процессом, учитывая, что ее программе вознаграждений за ошибки более пяти лет, «ненормально и должно считаться нормальным», по словам Кэти Муссурис, эксперта по кибербезопасности, которая, по сути, изобрела концепцию вознаграждений за ошибки. чем 10 лет назад, когда она работала в Microsoft.

Исследователь безопасности illusionofchaos поделился своим опытом в блоге, в том числе утверждением, что Apple знала и игнорирует три уязвимости нулевого дня с марта, и они есть в iOS 15.

Я хочу поделиться своим разочаровывающим опытом участия в программе Apple Security Bounty. Я сообщил о четырех уязвимостях нулевого дня в этом году в период с 10 марта по 4 мая, на данный момент три из них все еще присутствуют в последней версии iOS (15.0) и одна была исправлена ​​в 14.7, но Apple решила скрыть ее и не указывайте его на странице с информацией о безопасности. Когда я столкнулся с ними, они извинились, заверили меня, что это произошло из-за проблемы с обработкой, и пообещали перечислить ее на странице безопасности следующего обновления. С тех пор было три релиза, и каждый раз они нарушали свое обещание.

illusionofchaos говорит, что он снова попросил Apple дать объяснение, включая то, что он сделает свое исследование публичным — в соответствии с принципами ответственного раскрытия информации — и Apple не ответила.

Десять дней назад я попросил объяснений и предупредил, что опубликую свои исследования, если не получу объяснений. Мой запрос проигнорировали, поэтому я делаю то, что обещал. Мои действия соответствуют принципам ответственного раскрытия информации (Google Project Zero выявляет уязвимости через 90 дней после сообщения о них поставщику, ZDI — через 120). Я ждал намного дольше, до полугода в одном случае.

illusionofchaos поделился подробностями о трех других уязвимостях нулевого дня, которые он обнаружил, включая «Gamed 0-day», «Nehelper Enumerate Installed Apps 0-day» и «Nehelper Wifi Info 0-day», включая доказательство исходного кода концепции.

Вот обзор каждого из них:

Игра 0-день

Любое приложение, установленное из App Store, может получить доступ к следующим данным без какого-либо запроса от пользователя:

Адрес электронной почты Apple ID и полное имя, связанный с ним. Токен аутентификации Apple ID, который позволяет получить доступ по крайней мере к одной из конечных точек на * .apple.com от имени пользователя Полный доступ для чтения файловой системы к базе данных Core Duet (содержит список контактов из почты, SMS, iMessage, сторонних приложений для обмена сообщениями и метаданных обо всем взаимодействии пользователя с этими контактами (включая временные метки и статистику), а также некоторые вложения (например, URL-адреса и тексты). Полная файловая система, доступ для чтения к базе данных быстрого набора и адресу База данных книг, включая фотографии контактов и другие метаданные, такие как даты создания и изменения (я только что проверил на iOS 15, и эта недоступна, так что ее, должно быть, недавно незаметно исправили)

Nehelper Enumerate Installed Apps 0-day

Уязвимость позволяет любому установленному пользователем приложению определить, установлено ли какое-либо приложение на устройстве, учитывая его идентификатор пакета.

Nehelper Wifi Info 0-день

Конечная точка XPC com.apple.nehelper принимает заданный пользователем параметр sdk-version, и если его значение меньше или равно 524288, проверка com.apple.developer.networking.wifi-infoentiltlement пропускается. Это позволяет любому подходящему приложению (например, имеющему разрешение на доступ к местоположению) получить доступ к информации Wi-Fi без необходимого разрешения. Это происходит в -[NEHelperWiFiInfoManager checkIfEntitled:] в / usr / libexec / nehelper.

Две точки зрения

Оглядываясь назад, чтобы взглянуть на общую картину, Apple заявила, что ее программа по вознаграждению за ошибки является «безоговорочным успехом», в то время как сообщество информационной безопасности поделилось множеством конкретных критических замечаний и опасений по поводу этой программы. К ним относятся утверждения о том, что Apple не ответила или не ответила вовремя, а также о том, что Apple не заплатила за обнаруженные недостатки, которые соответствуют руководящим принципам программ вознаграждения.

Примечательно, что ранее в этом месяце мы узнали, что Apple наняла нового лидера для своей программы вознаграждений за безопасность с целью «ее реформирования».

Соцсети