Apple пересмотрела свою программу вознаграждений за безопасность еще в 2019 году, сделав ее открытой для всех, увеличив выплаты и многое другое. Тем не менее, программа вызвала много критики со стороны сообщества информационной безопасности. Теперь другой исследователь безопасности поделился своим опытом, утверждая, что Apple не возложила на них должное за одну ошибку нулевого дня, о которой они сообщили, которая была исправлена, и что в iOS 15 есть еще три уязвимости нулевого дня.
Исследователь безопасности illusionofchaos поделился своим опытом в блоге, в том числе утверждением, что Apple знала и игнорирует три уязвимости нулевого дня с марта, и они есть в iOS 15.
Я хочу поделиться своим разочаровывающим опытом участия в программе Apple Security Bounty. Я сообщил о четырех уязвимостях нулевого дня в этом году в период с 10 марта по 4 мая, на данный момент три из них все еще присутствуют в последней версии iOS (15.0) и одна была исправлена в 14.7, но Apple решила скрыть ее и не указывайте его на странице с информацией о безопасности. Когда я столкнулся с ними, они извинились, заверили меня, что это произошло из-за проблемы с обработкой, и пообещали перечислить ее на странице безопасности следующего обновления. С тех пор было три релиза, и каждый раз они нарушали свое обещание.
illusionofchaos говорит, что они снова попросили Apple дать объяснение, включая то, что они обнародуют свое исследование — в соответствии с принципами ответственного раскрытия информации — и Apple не ответила.
Десять дней назад я попросил объяснений и предупредил, что опубликую свои исследования, если не получу объяснений. Мой запрос проигнорировали, поэтому я делаю то, что обещал. Мои действия соответствуют принципам ответственного раскрытия информации (Google Project Zero выявляет уязвимости через 90 дней после сообщения о них поставщику, ZDI — через 120). Я ждал намного дольше, до полугода в одном случае.
illusionofchaos поделился подробностями о трех других уязвимостях нулевого дня, которые они обнаружили, включая «Gamed 0-day», «Nehelper Enumerate Installed Apps 0-day» и «Nehelper Wifi Info 0-day», включая доказательство исходного кода концепции.
Вот обзор каждого из них:
Игра 0-день
Любое приложение, установленное из App Store, может получить доступ к следующим данным без какого-либо запроса от пользователя:
Адрес электронной почты Apple ID и полное имя, связанный с ним. Токен аутентификации Apple ID, который позволяет получить доступ по крайней мере к одной из конечных точек на * .apple.com от имени пользователя Полный доступ для чтения файловой системы к базе данных Core Duet (содержит список контактов из почты, SMS, iMessage, сторонних приложений для обмена сообщениями и метаданных обо всем взаимодействии пользователя с этими контактами (включая временные метки и статистику), а также некоторые вложения (например, URL-адреса и тексты). Полная файловая система, доступ для чтения к базе данных быстрого набора и адресу База данных книг, включая фотографии контактов и другие метаданные, такие как даты создания и изменения (я только что проверил на iOS 15, и эта недоступна, так что ее, должно быть, недавно незаметно исправили)
Nehelper Enumerate Installed Apps 0-day
Уязвимость позволяет любому установленному пользователем приложению определить, установлено ли какое-либо приложение на устройстве, учитывая его идентификатор пакета.
Nehelper Wifi Info 0-день
Конечная точка XPC com.apple.nehelper принимает заданный пользователем параметр sdk-version, и если его значение меньше или равно 524288, проверка com.apple.developer.networking.wifi-infoentiltlement пропускается. Это позволяет любому подходящему приложению (например, имеющему разрешение на доступ к местоположению) получить доступ к информации Wi-Fi без необходимого разрешения. Это происходит в -[NEHelperWiFiInfoManager checkIfEntitled:] в / usr / libexec / nehelper.
Две точки зрения
Оглядываясь назад, чтобы взглянуть на общую картину, Apple заявила, что ее программа по вознаграждению за ошибки является «безоговорочным успехом», в то время как сообщество информационной безопасности поделилось множеством конкретных критических замечаний и опасений по поводу программы. К ним относятся утверждения о том, что Apple не ответила или не ответила вовремя, а также о том, что Apple не заплатила за обнаруженные недостатки, которые соответствуют руководящим принципам программ вознаграждения.
Примечательно, что ранее в этом месяце мы узнали, что Apple наняла нового лидера для своей программы вознаграждений за безопасность с целью «ее реформирования».
