В 2019 году Apple открыла свою программу вознаграждений за безопасность для общественности, предлагая исследователям до 1 миллиона долларов за обнаружение и предоставление Apple критических уязвимостей в iOS, iPadOS, macOS, tvOS или watchOS, включая методы их эксплуатации. Программа разработана для того, чтобы помочь Apple максимально обезопасить свои программные платформы.
С тех пор появлялись сообщения о том, что некоторые исследователи безопасности недовольны программой, и теперь исследователь безопасности, использующий псевдоним «illusionofchaos», поделился своим аналогичным «разочаровывающим опытом».
В посте в блоге, на который обратил внимание Коста Элефтериу, неназванный специалист по безопасности сообщил, что с марта по май этого года он сообщил Apple о четырех уязвимостях нулевого дня, однако, по его словам, три из этих уязвимостей все еще присутствуют в iOS 15, а одна была исправлена в iOS 14.7 без указания его заслуг со стороны Apple.
Я хочу поделиться своим разочаровывающим опытом участия в программе Apple Security Bounty. В этом году с 10 марта по 4 мая я сообщил о четырех уязвимостях нулевого дня. На данный момент три из них все еще присутствуют в последней версии iOS (15.0), а одна была исправлена в 14.7, но Apple решила скрыть это и не включать ее в страницу с описанием безопасности. Когда я обратился к ним, они извинились, заверили меня, что это произошло из-за проблемы с обработкой данных, и пообещали указать ее на странице с описанием безопасности следующего обновления. С тех пор вышло три релиза, и они каждый раз нарушали свое обещание.
Исследователь заявил, что на прошлой неделе он предупредил Apple о намерении обнародовать свои исследования, если не получит ответа. Однако, по его словам, Apple проигнорировала запрос, что побудило его публично раскрыть информацию об уязвимостях.
Одна из уязвимостей нулевого дня связана с Game Center и, предположительно, позволяет любому приложению, установленному из App Store, получить доступ к некоторым данным пользователя:
— Адрес электронной почты Apple ID и полное имя, связанные с ним
— Токен аутентификации Apple ID, позволяющий получать доступ как минимум к одному из эндпоинтов на *.apple.com от имени пользователя
— Полный доступ для чтения файловой системы к базе данных Core Duet (содержит список контактов из Mail, SMS, iMessage, сторонних приложений для обмена сообщениями и метаданные обо всех взаимодействиях пользователя с этими контактами (включая временные метки и статистику), а также некоторые вложения (например, URL-адреса и тексты)
— Полный доступ для чтения файловой системы к базе данных Speed Dial и базе данных Address Book, включая фотографии контактов и другие метаданные, такие как даты создания и изменения (я только что проверил на iOS 15, и этот доступ теперь недоступен, так что, вероятно, он был недавно незаметно исправлен)
Другие две уязвимости нулевого дня, которые, по-видимому, все еще присутствуют в iOS 15, а также та, что была исправлена в iOS 14.7, также подробно описаны в посте блога.
Click through to see the Game Center exploit in particular. It’s rough.
Things like this should almost never slip through the cracks with a functioning security program.
Instead, with Apple, it’s commonplace.
That’s so deeply broken, yet nothing changes.
What will it take?
— Marco Arment (@marcoarment) September 24, 2021
Apple пока не прокомментировала пост в блоге. Мы обновим эту историю, если компания ответит.
